草庐IT

Security6

全部标签

security - Socket.io 安全问题

我想知道如何保护我的socket.io从以下连接到服务器。安全问题:什么可以阻止恶意用户通过客户端代码连接到套接字服务器?例子:OUTSIDEDOMAINREQUESTvarsocket=io.connect('http://Mydomain',{port:4000});用户似乎可以通过打开不同的浏览器窗口来创建数千个并发连接。如何防止这些问题发生? 最佳答案 您应该能够检查服务器端的HTTP引荐来源网址是否正确。查看socket.io规范以获取有关http引用和握手的信息。https://github.com/socketio/s
securitySocketsectionhttpsnode.jssocket.io

security - Socket.io 安全问题

我想知道如何保护我的socket.io从以下连接到服务器。安全问题:什么可以阻止恶意用户通过客户端代码连接到套接字服务器?例子:OUTSIDEDOMAINREQUESTvarsocket=io.connect('http://Mydomain',{port:4000});用户似乎可以通过打开不同的浏览器窗口来创建数千个并发连接。如何防止这些问题发生? 最佳答案 您应该能够检查服务器端的HTTP引荐来源网址是否正确。查看socket.io规范以获取有关http引用和握手的信息。https://github.com/socketio/s
securitySocketsectionhttpsnode.jssocket.io

node.js - 在公司防火墙后运行 npm : what do I need to tell the security team?

我正在尝试运行node.js,但由于npm被阻止,因此无法安装任何软件包。我在这里尝试了解决方案:Howtofillinproxyinformationincntlmconfigfile?,在这里:NPMbehindNTLMproxy并且仍然收到错误。我已经检查了三倍,检查我是否遵循了说明,并且我的ini具有与说明相同的配置。我的下一步是要求安全团队允许npm通过防火墙进行访问,但我看不到任何有关此的文档。我需要告诉安全团队什么?注意:我知道npmEnterprise,但我认为在开始这一步之前,我需要先了解npm。 最佳答案 是的,
防火securitycodesectionnoreferrernode.jsnpm

node.js - 在公司防火墙后运行 npm : what do I need to tell the security team?

我正在尝试运行node.js,但由于npm被阻止,因此无法安装任何软件包。我在这里尝试了解决方案:Howtofillinproxyinformationincntlmconfigfile?,在这里:NPMbehindNTLMproxy并且仍然收到错误。我已经检查了三倍,检查我是否遵循了说明,并且我的ini具有与说明相同的配置。我的下一步是要求安全团队允许npm通过防火墙进行访问,但我看不到任何有关此的文档。我需要告诉安全团队什么?注意:我知道npmEnterprise,但我认为在开始这一步之前,我需要先了解npm。 最佳答案 是的,
防火securitycodesectionnoreferrernode.jsnpm

security - Websockets、socket.io、nodejs 和安全性

我正在开发一个实时分析应用程序,并且正在使用websockets(通过socket.io库)和nodejs。不会有通过websocket发送的“敏感”数据(如姓名、地址等)。它将仅用于跟踪访问和总访问者(以及访问量最大的10个URL上的访问者数量)。是否有任何我应该注意的安全问题?我是否敞开心扉:DoS攻击?XSS攻击?可用于访问网络服务器/网络服务器的LAN的其他安全漏洞?还有什么我没有在这里提到的吗?谢谢! 最佳答案 1.DoSattacks?您正在对DoS攻击敞开心扉,如果它们处理得当,您几乎无法应对这种攻击。2.XSSatt
Websocketssecurityblockquotesectioncodehtmlnode.jswebsocketsocket.io

security - Websockets、socket.io、nodejs 和安全性

我正在开发一个实时分析应用程序,并且正在使用websockets(通过socket.io库)和nodejs。不会有通过websocket发送的“敏感”数据(如姓名、地址等)。它将仅用于跟踪访问和总访问者(以及访问量最大的10个URL上的访问者数量)。是否有任何我应该注意的安全问题?我是否敞开心扉:DoS攻击?XSS攻击?可用于访问网络服务器/网络服务器的LAN的其他安全漏洞?还有什么我没有在这里提到的吗?谢谢! 最佳答案 1.DoSattacks?您正在对DoS攻击敞开心扉,如果它们处理得当,您几乎无法应对这种攻击。2.XSSatt
Websocketssecurityblockquotesectioncodehtmlnode.jswebsocketsocket.io

Spring Security(安全框架)

一、概念(1)SpringSecurity是一个高度自定义的安全框架。利用SpringIoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。(2)认证(Authentication):应用程序确认用户身份的过程,常见认证:登录。(3)身份(principal)/主体(Subject):认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。(4)凭证(Credential):用户认证过程中的依据之一。常见就是密码。(5)授权(Authorization):判断用户具有哪些权限或角色。(6)SpringSecuri
框架Securityxffstrong34springjava后端

Spring Security 替换WebSecurityConfigurerAdapter (Deprecated)的方法

在本文中,我将提供一个解决方案来配置Spring安全性,而无需WebSecurityConfigurerAdapter类。从SpringSecurity5.7开始,WebSecurityConfigurerAdapter类已被弃用,Spring团队鼓励用户转向基于组件的安全配置。 使用WebSecurityConfigurerAdapter在WebSecurityConfigurerAdapter类被弃用之前,我们正在编写这样的代码。我们创建了一个SpringJava配置类,它扩展了WebSecurityConfigurerAdapter类并覆盖了几个configure()方法:@Config
WebSecurityConfigurerAdapterDeprecatedspanspringframeworksecurityspringjava后端

Spring Security 替换WebSecurityConfigurerAdapter (Deprecated)的方法

在本文中,我将提供一个解决方案来配置Spring安全性,而无需WebSecurityConfigurerAdapter类。从SpringSecurity5.7开始,WebSecurityConfigurerAdapter类已被弃用,Spring团队鼓励用户转向基于组件的安全配置。 使用WebSecurityConfigurerAdapter在WebSecurityConfigurerAdapter类被弃用之前,我们正在编写这样的代码。我们创建了一个SpringJava配置类,它扩展了WebSecurityConfigurerAdapter类并覆盖了几个configure()方法:@Config
WebSecurityConfigurerAdapterDeprecatedspanspringframeworksecurityspringjava后端

security - JWT(JSON Web Token)自动延长过期时间

我想对我们的新RESTAPI实现基于JWT的身份验证。但是既然在token中设置了过期时间,是不是可以自动延长呢?如果用户在此期间积极使用该应用程序,我不希望用户在每X分钟后登录一次。那将是一个巨大的用户体验失败。但是延长过期时间会创建一个新token(旧token在过期之前仍然有效)。在每个请求之后生成一个新token对我来说听起来很愚蠢。当多个token同时有效时,这听起来像是一个安全问题。当然,我可以使用黑名单使旧的使用无效,但我需要存储token。JWT的好处之一是无需存储。我发现了Auth0是如何解决它的。他们不仅使用JWTtoken,还使用刷新token:https://a
securityTokensectionJWTauthentication
70717273747576