在最近的PCI审计中，审计员说我们存在重大安全风险，因为无需事先验证即可从我们的网站下载静态资源，例如图像css和javascript。我们的javascript中有注释。我个人认为这根本不是安全风险。图片css和javascript不是动态创建的，它们不包含关于我们的后端、我们的客户详细信息和机制的数据。javascript中的注释只是简单地解释了javascript文件中的方法的作用。无论如何，任何阅读JS的人都可能发现这一点。如何显示“informationleakage”？javascript中的注释真的存在安全风险吗？ 最佳答案

很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visitthehelpcenter.关闭11年前。给定一个客户端游戏(我们称之为游戏X)和一个存储高分的服务器端数据库如何在游戏结束后安全地将高分提交给服务器一种只有在实际玩游戏时才能完成的方法(从而防止后期劫持)。鉴于这里设置的这个问题是我一直在思考的一些想法**在游戏开始时发送一个在给定时间后过期的sessionID发送到服务器进行验证问题是这可以很容易地通过请求开始ID然后伪造分数来利用**游戏中发布到服务器以验证用户是否确实在玩游戏的检

假设我有一个Phonegap/cordova应用程序，我想通过AJAX使用POST和GET向我的服务器发出请求。只有当帖子来self的应用程序时，我才能确保我的php文件安全。例如if($_POST["key"]==$secret_key_got_from_server){//Dothethings}我想用openssl创建一个安全的唯一key，但如果我在代码中对其进行硬编码以通过AJAX发送它，任何人都可以反编译我的源代码并获取key并为所欲为。我如何确保我的帖子来self的phonegap应用程序，或者我如何安全地编码该key/token？我不太确定这个问题应该在这里还是在安全SE

我有一个关于构建完全开源网站的理论问题。我想知道我是否可以编写网站代码，比如说用PHP，它既实用又透明，因此用户可以享受网站的功能并阅读使网站成为可能的代码。例如:index.php是一个用PHP编码的功能齐全的索引页面假设用户想要查看index.php的代码，这样他就可以100%确定服务器端所做的一切。这样的事情可能吗？ 最佳答案 所以让我做对吧；您不仅要提供网站的源代码，还要向所有访问者证明该网站实际上是在提供的代码上托管和运行的？您可能能够做出一些看起来相当有说服力的事情(直接通过浏览器公开系统中的内部文件？)，但我不确定您能

只是考虑加固我们的Apache/PHP服务器安装并思考通用方法。是否可以创建一个配置，只有在“签名”或哈希和(例如MD5)已知时才执行php代码？有什么建议吗？ 最佳答案 请注意:我根本不会在这里推荐MD5。也就是说，PHPArchives(a.k.a.Phar)支持通过OpenSSL进行代码签名。这用于random_compat(参见:random_compat.phar和random_compat.phar.pubkey；.asc文件是.pubkey文件)。我们用来生成签名Phars的代码位于here.

我的网站是完整的SPA，所有经过身份验证的用户的请求都是使用访问token完成的，未经身份验证的用户可以访问的唯一表单是登录表单。那么csrf保护有必要吗？如果我从我的网站禁用csrf保护，我可能会面临哪些潜在的安全问题？谢谢。 最佳答案 如果我理解你的设置，它如下:用户POST凭据(例如:登录表单)服务器返回授权token作为响应用户在每个后续请求的请求header中包含token如果这是准确的，并且假设您正在使用TLS并正确验证token，我认为您已经很好地防止跨站点请求伪造。典型的CSRF保护是发送一个只有合法网站才能看到的t

我在阅读有关使用password_hash()时的空字节问题。这给了我两个问题:从PHP7开始，空字节漏洞是否仍然存在？我尝试使用password_hash()复制它，但要么它已修复，要么我无法复制它。当\0之后的字符不同或不存在时，password_verify()返回false。在处理密码时，还有什么其他注意事项我应该注意的吗？我不想对它们本身进行清理(用户需要确保处理后的密码字符串正是他们发送的)，但我看到了这样的代码(再次，与空字节相比):str_replace(chr(0),'',$输入).我应该在处理密码时使用它吗？我还应该使用其他东西吗？ 最佳

我的目标只是生成一个临时token，它将在URL中用于用户识别，我应该使用OAuthProvider::generateToken吗？或random_bytes？来自这些答案:GenerateasingleusetokeninPHP:random_bytesoropenssl_random_pseudo_bytes?和bestpracticetogeneraterandomtokenforforgotpassword与openssl_random_pseudo_bytes相比，random_bytes似乎是PHP7最近更新的选项。与OAuthProvider::generateToke

在我的项目中，我找不到任何的csrf和附加的security标记。有没有办法为我的项目中的每个表单添加这些标记？ 最佳答案 在AppController方法中添加以下行。$this->loadComponent('Csrf');$this->loadComponent('Security'); 关于php-如何在CakePHP3.*中以各种形式在项目中添加csrf，安全token，我们在StackOverflow上找到一个类似的问题： https://stac

我正在为Subversion编写一个简单的内部前端。多亏了WebDAV，我们有一个Apache设置为SVN存储库提供服务。此外，身份验证是通过Apache领域和OpenDirectory完成的。就其值(value)而言，这基本上是一个非常普通的MacOSXServer10.6设置。现在，我们的前端负责启动的一些任务需要知道调用操作的用户的用户名。例如，创建存储库需要它，以便我们获得实际创建者的正确日志。如果我不提供此信息，SVN只会使用创建它的进程，在我们的例子中是运行httpd的用户。我在php中执行此操作，但我不一定非要使用php来实现它。如果我可以在shell脚本中获取信息，那也