草庐IT

SECURITY

全部标签

html - Web 安全,是否存在隐藏字段(无敏感数据)的问题?

我正在和同事讨论。我们必须实现一些安全标准。我们知道不能在隐藏字段中存储“敏感信息、地址、出生日期”信息,但通常可以在您的应用程序中使用隐藏字段。例如:action=goback似乎为此类信息使用隐藏字段比将其添加到查询字符串中更安全。这是黑客可以用来攻击您的应用程序的少一条信息。 最佳答案 黑客可以使用拦截代理(或任何数量的工具)访问隐藏字段,就像访问查询字符串值一样容易。我认为使用隐藏字段没有任何问题,只要它们不用于任何敏感内容,并且您像验证来自客户端的任何其他值一样验证它们。 关于

javascript - 仅使用 JavaScript 检查文件是否存在于本地

我想检查本地是否存在文件,HTML文件所在的位置。它必须是JavaScript。JavaScript永远不会被禁用。jQuery不好但可以。顺便说一句,我正在为Mac制作一个钛应用程序,所以我正在寻找一种方法来保护我的文件免受点击“显示包内容”的人的影响。 最佳答案 您的问题不明确,因此根据您真正想要实现的目标,有多种可能的答案。如果您正在开发,我猜是使用Titanium的桌面应用程序,那么您可以使用FileSystem模块的getFile获取文件对象,然后使用exists方法检查它是否存在。这是从Appcelerator网站获取的

javascript - 仅使用 JavaScript 检查文件是否存在于本地

我想检查本地是否存在文件,HTML文件所在的位置。它必须是JavaScript。JavaScript永远不会被禁用。jQuery不好但可以。顺便说一句,我正在为Mac制作一个钛应用程序,所以我正在寻找一种方法来保护我的文件免受点击“显示包内容”的人的影响。 最佳答案 您的问题不明确,因此根据您真正想要实现的目标,有多种可能的答案。如果您正在开发,我猜是使用Titanium的桌面应用程序,那么您可以使用FileSystem模块的getFile获取文件对象,然后使用exists方法检查它是否存在。这是从Appcelerator网站获取的

可证明安全初步(Provable Security Basics)

Speecher:BingshengZhang这一系列的课程,为了介绍一些基础,弥补一些上密码学课和看论文的Gap。历史上的密码学是art,就像鲁班锁,看着很精妙,但是没有证明。1970s以来,逐渐发展成Science。定义和模型一直在改,但是方法论和安全性证明是一样的。传统的应用:机密性(加密)完整性(MAC)验证(签名)现代的原语:区块链FHEZKSMPCABEfunctionalencryptionindistinguishabilityobfuscation现代密码学的核心准则:可证明安全。主要分为三步:准确地定义威胁模型,即:什么是安全?“什么是安全”的正式模型和定义,比如敌手能做什

javascript - 检测iframe是否跨域的万无一失的方法

我正在尝试确定任何iframe是否跨域。根据这个问题中接受的答案:Detectwheniframeiscross-domain,thenbustoutofit它说将访问iframe的contentDocument的代码放在try/catchblock中。我在Chrome中尝试了跨域iframe:try{document.getElementsByTagName('iframe')[0].contentDocument;}catch(err){console.log("called");}它仍然抛出跨域错误并且没有捕获错误。我还尝试检查父页面url的协议(protocol)+主机+端口是

javascript - 检测iframe是否跨域的万无一失的方法

我正在尝试确定任何iframe是否跨域。根据这个问题中接受的答案:Detectwheniframeiscross-domain,thenbustoutofit它说将访问iframe的contentDocument的代码放在try/catchblock中。我在Chrome中尝试了跨域iframe:try{document.getElementsByTagName('iframe')[0].contentDocument;}catch(err){console.log("called");}它仍然抛出跨域错误并且没有捕获错误。我还尝试检查父页面url的协议(protocol)+主机+端口是

Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateNotYetValidException:

生命就像人家的魔法书,涂涂改改又是一年📖目录原因解决办法完整报错:在执行sqoop脚本导数据的时候出现Causedby:javax.net.ssl.SSLHandshakeException:java.security.cert.CertificateNotYetValidException:NotBefore:TueOct1117:24:18CST2022报错,证书不合法,解决办法是jdbc连接MySQL时不使用ssl协议,所以在jdbc连接后面加上参数useSSL=false就可以了。jdbc:mysql://localhost:3306/student?useSSL=false原因:sq

HTML 在存储或显示时对用户输入进行编码

一直困扰着我的简单问题。我应该立即对用户输入进行HTML编码并将编码后的内容存储在数据库中,还是应该在显示时存储原始值和HTML编码?存储编码数据大大降低了开发人员在显示数据时忘记编码数据的风险。然而,存储编码数据会使数据挖掘变得更加麻烦,并且会占用更多空间,尽管这通常不是问题。 最佳答案 我强烈建议在输出时对信息进行编码。如果您希望更改在某个点查看原始数据的方式,那么将原始数据存储在数据库中是很有用的。流程应该类似于:sanitizeuserinput->protectagainstsqlinjection->db->encode

HTML 在存储或显示时对用户输入进行编码

一直困扰着我的简单问题。我应该立即对用户输入进行HTML编码并将编码后的内容存储在数据库中,还是应该在显示时存储原始值和HTML编码?存储编码数据大大降低了开发人员在显示数据时忘记编码数据的风险。然而,存储编码数据会使数据挖掘变得更加麻烦,并且会占用更多空间,尽管这通常不是问题。 最佳答案 我强烈建议在输出时对信息进行编码。如果您希望更改在某个点查看原始数据的方式,那么将原始数据存储在数据库中是很有用的。流程应该类似于:sanitizeuserinput->protectagainstsqlinjection->db->encode

html - 从 chrome 的扩展内容脚本访问 iframe 内容

我正在做一个插件来对界面进行一些转换。我不断收到unsafejavascriptattempttoaccessframewithurl....Domains,protocolsandportsmustmatch(典型的跨站点问题)但作为一个扩展,它应该可以访问iframe的内容http://code.google.com/chrome/extensions/content_scripts.html...有谁知道如何访问它的内容以便可以捕获它们? 最佳答案 通常没有直接的方法来访问不同来源的window对象。如果您想在不同框架中的内容