如何最好地保护 iframe 小组件中的 API 密钥
作者:user1022788 提问时间:3/2/2023
我正在开发一个 Javascript 小部件,它将使用 Iframe 嵌入到客户端站点上。 小部件代码使用 API 密钥对我的后端服务进行 API 调用。每个不同客户端的 API 密钥将更改。 目...
安全 问答列表
防止从不同设备发送请求
作者:Eltac Shikhsaidov 提问时间:5/15/2023
我有一个带有登录端点的Spring Boot项目,该项目会生成用于访问其他端点的令牌。当用户从特定设备(浏览器或应用程序)登录时,我想添加一项安全措施,以防止生成的令牌在其他设备上使用。换言之,令牌应...
如何使用 GitHub Actions 和秘密令牌安全地对后端进行 API 调用?
作者:Lukas Petersson 提问时间:3/7/2023
我正在创建一个 GitHub 操作,我想分发给其他人使用。但是,我不希望其他人看到代码的逻辑,我也不希望他们能够读取代码正在使用的秘密令牌。我将存储库设为私有,但我读到用户仍然可以通过日志从中获取信息...
如果 JWT 和 baseurl 可以从网络选项卡中复制,那么任何人都不能访问邮递员中的信息吗?
作者:Shirish Pokhrel 提问时间:5/12/2023
假设我有一个 react 应用程序,并且有一个用于登录的 api,它在响应中发送 JWT 令牌。我登录并使用该令牌,调用一个 API 来查看我的所有预订。 现在我的困惑来了。如果我转到网络选项卡,我...
PHP $_SERVER['HTTP_HOST'] 与 $_SERVER['SERVER_NAME'],我是否正确理解了手册页?
作者:Jeff 提问时间:9/22/2009
我做了很多搜索,也阅读了 PHP $_SERVER 文档。我是否有权将哪个脚本用于我的PHP脚本,以便在整个站点中使用的简单链接定义? $_SERVER['SERVER_NAME']基于您的 Web...
将用户添加到Keycloak LDAP REST API
作者:Khaled 提问时间:3/8/2023
路径 : http://localhost:8080/admin/realms/google/users JSON 对象: { "id": "2d274b22-4cd7-4711-ae0d-52...
具有 Suricata 的 AWS Network Firewall - 针对早于 1.2 的 TLS 版本发出警报出口流量
作者:FlashGordon 提问时间:3/18/2023
我正在尝试编写 Suricata 规则,该规则可以在旧版本的 TLS 上发出警报。我想检测早于 1.2 的 TLS 是否用于从我的网络到 Internet 的任何出口流量。我正在使用 AWS Netw...
为什么 DPAPI 在 blob/密钥解密中使用 SHA1?
作者:Dominik Oškera 提问时间:4/13/2023
据我所知,SHA1 不被视为安全的加密哈希函数。尽管如此,它似乎仍在 DPAPI 中使用。这可以从模拟 DPAPI 功能的 pypykatz 实现中看出。 https://github.com/sk...
OAuth - 授权服务器部署位置(DMZ 或 Intranet)
作者:user21619266 提问时间:4/11/2023
为客户端凭据流开发 OAuth 框架,以保护服务之间的通信。 计划是利用此 OAuth 框架来保护源自 DMZ(面向公众的 API)到内部 API 或 DMZ 中部署的 API 的 API 调用。 ...
DPAPI 与存储在 TPM 中的密钥
作者:MartinS 提问时间:4/16/2023
Windows 上的 DPAPI 提供了用于加密和解密任意数据的函数。DPAPI 提供的函数包括 、 和 。我怀疑函数和 ntsecapi.h 也使用 DPAPI,尽管文档中没有说明。CryptPro...