将 Active Content Filtering 用于 Project Zero 应用程序的安全性

最新推荐文章于 2024-07-11 11:08:11 发布
最新推荐文章于 2024-07-11 11:08:11 发布
阅读量674 收藏
点赞数
分类专栏: 安全 文章标签: javascript 活动 web 脚本 groovy ibm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ibmjournal/article/details/1920235
版权
借助活动内容过滤(Active Content Filtering,ACF)避开对 Web 2.0 应用程序的常见攻击(例如跨站脚本)并显著提高 Project Zero 应用程序的安全性。ACF 是 Project Zero 内的一个可分解组件,ACF 提供的库能从请求数据(例如请求参数)和发送到客户机的响应输出中删除活动内容。通过本文,您将了解如何将 ACF 应用到可能包含活动内容的 Project Zero 环境以及这样做所能带来的强大功能。

ACF 简介

要了解 ACF,首先要对 Project Zero 有大致的认识。如下内容摘自 Project Zero Web 站点

“Project Zero 是 IBM® 内部发起的一个孵化器项目,侧重于下一代动态 Web 应用程序的敏捷开发。 Project Zero 引入了一种简单的环境,基于流行的 Web 技术创建、组装和执行应用程序。Project Zero 环境包括一个面向 Groovy 和 PHP 的脚本运行时,且具有应用程序编程接口,这些接口针对 REST 风格服务、集成 mashup 和富 Web 接口的生成进行了优化。”

Project Zero 主要针对的是一下代动态 Web 应用程序(通常归类为 Web 2.0),本文侧重于交互式 Web 应用程序,这些应用程序可能会包含用户提供的内容,比如 mashup、wiki 和 blog。为了支持这些应用程序,Project Zero 提供了 ACF 库,应用程序开发人员可以将其包括在 Zero 应用程序之内。ACF 让开发人员能够避开经常在这类应用程序出现的跨站脚本等问题(有关跨站脚本的描述,请参见 参考资料)。

关于示例

本文提供的示例旨在借助由简到难的用例充分展示 ACF 。这些示例均构建在之前的示例之上。如下是这些示例的一个摘要,每个示例会在随后的章节详细加以介绍:

  • 示例 1 是一个很基本的、启用了 Ajax 的页面,它让用户能够向从外部收到的文章发表评论。这个示例展示了若用户评论或文章中包含活动内容 — 比如 JavaScript — 情形将会如何。
  • 示例 2 构建在示例 1 的基础上,并包含对 ACF 库的支持。这个示例展示了当文章中包含活动内容 — 比如 JavaScript — 时 ACF 过滤功能如何工作。
  • 示例 3 构建在示例 2 的基础上,并支持对请求参数的 ACF 过滤功能。这个示例展示了当用户评论中包含活动内容 — 比如 JavaScript — 时 ACF 过滤功能如何工作。  

本文转自:IBM developerWorks 中国

请点击此处查看全文

ibmjournal
关注
专栏目录
【AI 大模型论文中英双语阅读】让我们一步步验证 Let’s Verify Step by Step
AI天才研究院
09-22 458
最后,我们研究主动学习的影响。为了训练每个更大的奖励模型,我们选择 N 每个问题的样本 80% 是最有说服力的(根据 PRMselector )错误答案样本,以及 20% 是剩下的最有说服力的样本(正确或错误的答案)。尽管我们有时会出现正确的解决方案(通过手动注入正确的解决方案或由于自动评分中的错误),但我们在此阶段收集的绝大多数标签都是错误的解决方案。我们发布了 PRM800K,这是用于训练我们最先进的奖励模型的人类反馈的完整数据集,希望消除这一重大的进入障碍将促进大型语言模型对齐的相关研究。
Asp.Net部署项目Build失败:Unable to build project output group 'Content Files from (Active)'
weixin_30565327的博客
03-10 312
ref:http://www.code101.com/Code101/DisplayArticle.aspx?cid=85 ProblemI got this Error message when I was trying to do a web set up for my ASP.NET Web Application. I get to this message in the outpu...
Unable to build project output group 'Content Files from ThisProjectName (Active)’
weixin_33889245的博客
08-20 117
When I try to build an application for web deployment I get an error; Unable to build project output group 'Content Files from ProjectNET (Active). The error is prefixed by; C:\Documents a...
vb安装程序打包问题
cloud1203的专栏
03-06 1275
vb安装程序打包问题 vb程序编好后,自带的安装制作程序并不好用,当然在安装过vb6.0后机器是是能正常使用的,可在别的机子上安装总是各种报错,总之难以安装使用! 自己研究发现,其实,对于不复杂vb应用程序来说,并不需要制作安装程序! 工程编译成exe后
Unable to build project output group 'Content Files from SOMEWEB (Active)'
走错路的程序员
09-26 849
.net msi 安装程序项目在生成的时候如果报Unable to build project output group 'Content Files from SOMEWEB (Active)'异常, 一般是输出内容项目的哪个项目里面 有文件被删掉了. 而项目文件中引用还存在..你只要打开哪个项目 展开所有的文件 找一下黄色图标的文件. 把它排除掉就可以了.关键词:黄色图标.
firebase分析_用于Nativescript移动应用程序的Firebase分析
weixin_26717681的博客
09-27 925
firebase分析Collecting and analyzing user behaviour is always a considerable concern of any business because nobody dares to guarantee their mobile application can meet the needs of the end-user. 收集和分析用...
Project Zero 的数据访问 API 构建简单 wiki
zhangziyangup
01-30 130
开始之前 本文假设您对 Project Zero 已基本了解。要想加快进度,不妨先阅读一下介绍性文章 “为 Web 应用程序构建 RESTful 服务” 和介绍性教程 “用 Project Zero 开发应用程序: Project Zero 和 PHP 入门”。熟悉了 Project Zero 之后,就可以下载它(参见 参考资料)并编写简单的应用程序。 简介 Larry Wall 的那句话真...
springboot常用应用程序属性
qq_33966061的博客
06-28 305
文章目录简介核心特性日志原文 简介 可以在application.properties文件内部application.yml,文件内部或命令行开关中指定各种属性。本附录提供了常见Spring Boot属性的列表以及对使用它们的基础类的引用 属性贡献可以来自类路径上的其他jar文件,因此您不应将此视为详尽的列表。此外,您可以定义自己的属性。 此示例文件仅供参考。千万不能复制和粘贴的全部内容到...
CS6250 BGP Measurements Project – Summer 2024Python
最新发布
aycoont的博客
07-11 298
liveanBGPdataanalysis,supportingscientificresearch,andpost-theand theBGParepartofa BGPstreamBGPrecordandBGP elemwill notpurposes:updateA|route-views.eqix|None|None|11666|206.126.
Awesome list of C++ GameDev project
zhouschina的专栏
01-12 3189
Awesome list of C++ GameDev project A curated list of awesome C++ (mainly) things for Game Development. Inspired by awesome-... stuff. ~2000 projects listed here! If you want to add projects here, do a push request or open an issue! (Maybe some new cat
【chromium】windows构建base库 3:gn + vs2022 args 设置及debug x86 构建
突围
02-07 425
x86 debug 构建 chromium
Chrome的启动参数
Criss@陈磊
02-23 4840
List of Chromium Command Line Switches Condition Explanation --[1]⊗ Classic, non-material, mode for the |kTopChromeMD| switch.↪ --0⊗ Value of the --profiler-timing flag that will disable timin...
Spring Boot入门教程(四):配置文件
人不风流枉少年
03-20 4076
配置方式 每个starter都有自己默认的配置,如果需要改变默认值,可以在其他地方配置来覆盖掉默认的值,覆盖默认的配置有多种方式,每种方式的优先级也不同,如果在多个地方配置则优先使用优先级高的值,其中命令行参数优先级最高, 其中大部分参数一般都配置在属性文件application.properties中,属性文件即可以覆盖starter中默认的值,也可以自定义值 在命令行行输入的参数 SPR...
Springboot - 项目的全部可配置属性及其说明
简简单单Onlinezuozuo
04-11 9073
Springboot - 项目的全部可配置属性及其说明 1.可配置的项目如下 // 包含了可配置的字段, 默认值,以及说明 // 有机会后面翻译一下 debug=false # Enable debug logs. trace=false # Enable trace logs. # LOGGING logging.config= # Location of the logging c...
Web 安全漏洞检测利器:Rational AppScan
IBM技术期刊
06-11 1079
  演示: Rational AppScan 入门简介本产品演示将帮助您直观的了解一个面向 Web 应用程序Web 服务的黑箱安全扫描工具——Rational AppScan。利用 AppScan,应用程序开发团队在项目交付前,可以对所开发的应用程序与服务进行安全缺陷扫描,确保把安全的系统交付给客户。  
使用审核来跟踪对文件的读写操作
IBM技术期刊
10-25 894
在本文中,将介绍如何在 AIX® 中使用审核(AIX 安全方面的一个重要特性)来跟踪多个事件,并了解如何使用审核来跟踪对文件的读写操作。另外,还将研究一些相关的命令,如 ls 或者 istat,以检查文件的时间戳。引言AIX® 提供了一些简单的方式以跟踪最近对文件的访问。ls 命令就是一个示例。但是,有时您还希望了解是谁、或者哪个进程对该文件进行了访问。您可能需要这样的信息,以便进行调试或
了解 EFS
IBM技术期刊
05-14 879
使用加密的文件系统 (EFS)(这是一种新的 AIX® 6.1 安全特性)来保护您的数据,并全面了解 EFS 的配置及其使用。EFS 可以在文件系统级别中采用加密的格式存储文件的内容。如果您是 EFS 的新手,那么本文将是一个很好的起点,以分析 EFS 的必要性、它的特性和最常用的命令。
IBM Data Studio 专题
IBM技术期刊
05-28 814
IBM® Data Studio 提供了一套贯穿数据库应用程序的设计、开发、部署整个数据生命周期的管理环境,你可以通过与 Rational Data Architect 和 Rational Business Developer Extension 集成来开发你的数据库应用。  更多
Windows Server 2003 Active Directory森林与DNS安全配置指南
其中,"Authentication Firewall"是一种防止未经授权访问的保护措施,而"SID Filtering"则是限制特定安全标识符(SIDs)在信任边界上的传播,以增加安全性。 此外,Windows Server 2003对DNS服务进行了改进,以更好...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值