大家好。我的Web应用程序基于异步请求。计时器小部件正在运行并通过AJAX每秒更新一次它的状态(是的，这是必要的)。我用每个AJAX发送我的CSRFtoken:project_data.append(csrf_name_key,csrf_name_value);project_data.append(csrf_value_key,csrf_value_value);作为回应，我更新了全局变量:functionsetCSRF(response){csrf_name_key=response.nameKey;csrf_name_value=response.name;csrf_value_

我们需要设计一个安全的网络应用程序。我想提出一种session处理机制，它不仅在使用CRAM登录期间对每个请求进行质询-响应。方法。原因是为了加强Web应用程序以防止session劫持(例如CSRF)和重播或中间人攻击。使用nonce在某些地方建议，但在我们的webapp中它似乎不切实际，因为异步请求可以继续，或者用户可以打开新窗口，点击后退按钮等。想法:客户端和服务器有一个共享的secret(预先建立的用户密码)，每个后续请求都会根据该secret再次进行质询/响应，例如'response=hash(challenge+hashedPassword)'。仅当对质询的响应匹配时，服务器

我已经为部分遵循thisverygoodblogpostbyRiyadKalla的项目创建了一个简单的RESTfulAPI.现在，我已经在StackOverflow上阅读了数十个类似的问题，但我似乎无法找到我的安全问题的答案。简单地说，我的请求是这样的:客户端有一个公共(public)APIkey(纯文本，任何嗅探网络流量或正确检查代码源的人都可以访问)客户端使用公共(public)APIkey向服务器发送请求服务器有一个secret的APIkey(除了开发者以外的任何人都知道)服务器创建一个由客户端请求数据和secretAPIkey组成的HMAC-SHA1哈希服务器向API服务器发送

我必须使用相互身份验证从java调用安全的WCF服务。一切正常，除了我无法发送大于48680字节的消息。因此，48680字节的消息已成功发送，但48681字节的消息未成功发送，Java应用程序因读取超时异常而失败，尽管WCF的配额设置允许更大的消息。那么可能是什么问题呢？编辑源代码:packagefoo.bar;importorg.apache.commons.io.FileUtils;importorg.apache.commons.io.IOUtils;importorg.junit.Test;importjavax.net.ssl.*;importjava.io.*;import

我需要向用户或我的应用程序呈现一个对话，其中指向特定文件，因此最简单的选择自然是使用JFileChooser。然而，需要选择的文件位于Windows网络驱动器/共享上，但它映射到运行我的应用程序的主机上的驱动器。网络共享IS密码和JFileChooser确实在其对话框中显示了驱动器，但它无法浏览驱动器，直到我使用另一个程序，例如WindowsExplorer查看网络共享，它会要求输入密码。JFileChooser是否可以请求用户输入密码？JFileChooser是否从系统收到需要密码/身份验证的通知？使用Sun示例here，它只是默默地失败，这不是我想要发生的。我希望提示用户输入密码。

目标:保护我的Java应用程序免受逆向工程。想法:将程序分成两半(加载器和程序)loader将是一个普通的jar程序将是一个加密的jar文件(bouncycaSTLe，AES？)加载程序向安全服务器(https)请求解码程序的key加载器然后解码程序并加载它的类问题:5号有可能吗？这里有人做过吗？你知道任何可用的库吗？您能发现主要陷阱/您会采取不同的做法吗？额外我知道不可能完全阻止代码的逆向工程。我只是想让它变得更难、更可追溯。 最佳答案 这很可能使用类加载器。但是解码你的程序还是很容易的。需要做的就是更改加载器，以便在使用自定义类

我的应用程序具有由apache模块提供的CSRF保护。我的应用程序包含几个允许上传一些文件的页面，如下所示:当我们从httpd-2.2.3更新我们的apache版本时，所有的东西都工作正常到httpd-2.2.15.我用谷歌搜索了一段时间，发现问题可能与我表单中的multipart/form-data参数有关。在这种情况下，发送的表格不安全。我还发现spring可以通过MultipartFilter处理上面的内容来自spring文档http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/ht

为了保护我的Thrift服务器免受最近发现的SSLv3vulnerability，我明确说明应该为服务器套接字启用哪些协议(protocol):TServerSocketsocket=TSSLTransportFactory.getServerSocket(...);SSLServerSocketsslServerSocket=(SSLServerSocket)socket.getServerSocket;sslServerSocket.setEnabledProtocols(newString[]{"TLSv1.1","TLSv1.2"});但是，即使使用TestSSLServer进

关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题editingthispost.关闭7年前。Improvethisquestion我想创建一个Java桌面应用程序，并想采用某种机制来保护我的软件免遭非法复制。为Java应用程序实现序列号和激活保护的一般最佳方法是什么？如果用户可以正确激活软件，激活信息存储在哪里？谢谢。

我正在为我的硕士项目开发一个网络应用程序。它是一个供教授管理学生项目的系统，服务器端代码使用Java，数据库使用HSQLDB，表现层使用JSP，运行在tomcat上。将存储的数据不包含任何敏感信息(学生ID、财务信息等)，但用户名和密码是必需的，因此我想在学生使用密码的情况下保护密码本身他们将我的应用程序用于其他一些更重要的应用程序(即使我告诉人们不要这样做，这无疑会发生)。我以前从未研究过这种事情，我很迷茫。我确实找到了一篇解释如何使用Java来createahashofapassword的好文章，我在tomcatdocumentation中找到了信息解释如何设置领域中使用的哈希方案