在 .NET Core 6 中触发 OAuth2 流,用于具有 JWT 持有者令牌的无状态微服务,无需 cookie 会话
作者:Zach Gardner 提问时间:8/14/2023
我有一个强制执行身份验证的 .NET Core 6 API 网关,然后需要将经过身份验证的请求传递给各个微服务(检查授权)。我想在 API Gateway 层实现 OAuth2 流,并将 302 重定...
安全 问答列表
JSON 数据中的远程文件包含
作者:abid Hussain 提问时间:8/14/2023
我有一个用 angular 构建的应用程序,API 在 .net 中。 当我通过 Postman 检查 API 时,它工作正常, 但是当我尝试使用 angular APP 使用相同的 API 时,我收...
对于字符串谓词,我应该采取什么样的安全措施?
作者:nikki 提问时间:8/14/2023
我正在使用动态 linq 核心库将筛选器作为字符串获取。在这里,我向apiye发送一个字符串表达式。我正在使用 apide 动态 linq 核心库将我的字符串表达式解析为表达式。为了安全起见,我应该遵...
如何防止用户更改预填密码的输入类型?
作者:Kai 提问时间:8/14/2023
使用自动完成时,可能会将密码预填充到输入 type=password 字段中。 在正常交互中,此密码保持模糊状态。但是,如果有人打开代码编辑器并将类型更改为文本,则密码将变为可见。 我认为这是共享...
DUO / C# - 如何在没有回调的情况下进行单个调用以对用户进行身份验证
作者:Jon 提问时间:8/10/2023
在 C# DUO Universal 中。我怎样才能拨打一个电话来验证用户,在他们的手机上“ping”DUO应用程序并进行身份验证。DUO Universal 示例使用 Page 回调。我有 DUO ...
Spotify 上的内容安全策略 仅嵌入 Safari
作者:Senna Oudshoorn 提问时间:8/10/2023
在Drupal网站上,我遇到了显示播客的spotify嵌入问题。它在开发人员控制台中给了我这个错误。 拒绝加载 https://embed-standalone.spotify.com/embed/...
创建没有密码以明文形式显示的MySQL用户?
作者:Magnus Lind Oxlund 提问时间:1/31/2023
我很好奇是否有一种方法可以创建受密码保护的用户,而不允许密码从字面上出现在表达式中或在此过程中的任何时候在命令行上取消屏蔽。 在MySQL官方文档中,提到在命令行上提交未屏蔽的密码,例如在登录帐户时...
SSL 握手失败:kafka 代理 SSL 中证书链中的自签名证书
作者:maxime G 提问时间:7/25/2023
当我尝试在本地主机 kafka 中设置 SSL 时,我在代理上收到此错误: [2023-07-24 23:41:36,219]INFO [SocketServer brokerId=0] /127....
尽管在 ASP.NET 应用程序中更改了 cookie 名称,但是否建议在客户端代码中保留防伪令牌的默认字段名称?
作者:VIjay Jainapure 提问时间:8/8/2023
我们最近使用 AntiForgeryConfig.CookieName 配置将 ASP.NET 应用程序中用于防伪令牌的 cookie 名称更改为“customToken”。但是,在 AJAX 请求中...
如何正确转义此JSP代码以避免存储的XSS值?
作者:Wes 提问时间:8/5/2023
这些漏洞被标记为具有“存储的 XSS 漏洞”。需要知道如何正确转义以下内容以解决此类跨站点脚本漏洞吗? out.print("<td headers=\""+headerIDs.get(i-1)+"...