Java与网络安全关联的问题及解决办法

最新推荐文章于 2023-08-17 11:11:15 发布
最新推荐文章于 2023-08-17 11:11:15 发布
阅读量475 收藏
点赞数
分类专栏: 安全 文章标签: java http 安全漏洞
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/weixin_38316944/article/details/114674227
版权

1、私有链接

前端代码里有私有链接,如172.16,即便被注释,也会被利用,应该用域名代理

2、安全内容策略

未配置安全内容策略,网页存在被挂载第三方的链接的风险,解决办法:配置全局安全内容策略如:

response.addHeader("Content-Security-Policy", "default-src 'self' https: <a href="http://api.map.baidu.com/">http://api.map.baidu.com</a> 'unsafe-inline' 'unsafe-eval'; frame-src * gxtbm:;img-src * blob: data: https:;"); 

但如果代码里面需要引用安全的第三方API、JS、图片等需要在配置里添加例外

3、不安全第三方链接

a标签中链接打开的页面是可以通过.opener获取源页面的部分控制权,解决办法:如果打开的链接为第三方不可控的链接,需要加上rel="noopener noreferrer"

4、httponly

设置Cookie时,一般要加上httponly属性,防止Cookie被利用JS代码获取,如:

response.addHeader("Set-Cookie","LIEMS_USERLOGIN_USERPWD_COOKIE="+userPWD+"; Path=/;max-age=30*24*60*60;HttpOnly");

 

成勐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java 前端与后端的网络安全《白帽子讲Web安全》
04-15
阿里巴巴最具价值的安全专家吴翰清的《白帽子讲Web安全》 以思维导图模式概况了本书的最主要内容,值得学习。
基于JavaWeb的网络购物系统的设计与实现项目源码
03-22
本文首先介绍了网上购物系统的现状及开发背景,然后论述了系统的设计目标,系统需求和总体设计方案,较详细的论述了系统的详细设计和实现。最后,本文对网上购物系统进行了系统检测并提出了还需要改进的问题。 本...
网络招聘与面试系统的设计与实现毕业设计(含论文)
最新发布
02-08
随着社会的发展,社会的各行各业都在利用信息化时代的优势。计算机的优势和普及使得各种信息系统的开发成为必需。 网络招聘与面试系统,主要的模块包括查看首页、个人中心、求职者管理、企业管理、个人简历管理、招聘信息管理、投递简历管理、面试通知管理、通知公告管理、留言板管理、系统管理等功能。系统中管理员主要是为了安全有效地存储和管理各类信息,还可以对系统进行管理与更新维护等操作,并且对后台有相应的操作权限。 要想实现网络招聘与面试系统的各项功能,需要后台数据库的大力支持。管理员验证注册信息,收集的信息,并由此分析得出的关联信息等大量的数据都由数据库管理。本文中数据库服务器端采用了Mysql作为后台数据库,使Web与数据库紧密联系起来。在设计过程中,充分保证了系统代码的良好可读性、实用性、易扩展性、通用性、便于后期维护、操作方便以及页面简洁等特点。 本系统的开发使获取网络招聘与面试系统信息能够更加方便快捷,同时也使网络招聘与面试系统管理信息变的更加系统化、有序化。系统界面较友好,易于操作。 关键词:网络招聘与面试系统;Java;Mysql
Java 网络安全
编程开发相关技术学习
12-09 1331
DES算法是一种对称密码体制加密算法,为密码体制中的对称密码体制,其 明文按64位进行分组,密钥长64位,密钥是以56位参与DES运算,且第8、16、24、32、40、48、56、64位是校验位,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。:RSA算法是一种使用不同的加密密钥与解密密钥,是由已知加密密钥推导出解密密钥在计算上是不可行的密码体制,其原理是根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 1954
web常见安全漏洞以及修复建议
低危某个头缺失或不安全(xss攻击)
meimeib的博客
07-16 696
测试软件 appscan 测试结果 “Content-Security-Policy”头缺失或不安全 通过获取指令来控制某些可能被加载的确切的资源类型的位置 “X-Content-Type-Options”头缺失或不安全 HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。 “X-XSS-Protection”头缺失或不安全 HTTP X-XSS-Protection 响应头是 Internet E
Angular安全专辑之二——‘unsafe-eval’不是以下内容安全策略中允许的脚本源
KenkoTech的博客
08-17 1398
不包含‘unsafe-eval’的理由是eval 实际上是不安全的。它在每种语言中的意思是“获取这个字符串并执行它的代码”。这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。尽量避免使用eval方法,大多数情况下,eval方法是可以被避免的。而不是把‘unsafe-eval’加入到CSP白名单中。因为我的安全策略(CSP)白名单中并不包含‘unsafe-eval’这个选项。上述的代码可以这样更改,代码正常工作。
JAVA安全之JAVA服务器安全漫谈
swordheart的博客
04-25 967
0x00 前言 本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析,主要为了交流和抛砖引玉。 0x01 任意文件下载 示例 以下为任意文件下载漏洞的示例。 DownloadAction为用于下载文件的servlet。 1 2 3 4 5 6 7 8 9 10 11 12 13 <code>#!html <servlet>
blob图片资源被CSP拦截,无法在浏览器中加载
小小的心,有大大的梦的博客
08-02 7312
修改前nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';` 修改后nginx 中的配置: add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-e...
Web低危漏洞之不安全的第三方链接(target=“_blank“)处理办法
weixin_42715225的博客
09-10 1966
前言 针对于低危漏洞之不安全的第三方链接,需要进行及时相应的处理 漏洞呈现 解决 在超链接上添加: target="_blank" rel=“noopener noreferrer” 示例 解决前 target="_blank" 解决后 target="_blank" rel="noopener noreferrer" 结语 … … ...
正当防卫CSP(content security policy)
weixin_43964271的博客
09-05 3523
because it violates the following Content Security Policy directive: "default-src 'self'
JAVA_API1.6文档(中文)
04-12
java.awt.im.spi 提供启用可以与 Java 运行时环境一起使用的输入方法开发的接口。 java.awt.image 提供创建和修改图像的各种类。 java.awt.image.renderable 提供用于生成与呈现无关的图像的类和接口。 java.awt....
基于关联规则的电网大数据质量校验方法研究
01-12
解决基于传统数据库质量校验方法、基于独立服务器质量校验方法受到冗余数据干扰,导致大数据质量校验结果不理想的问题,提出了基于关联规则的电网大数据质量校验方法研究。分析基于关联规则电网不安全大数据诱因,...
java api最新7.0
10-26
java.awt.im.spi 提供启用可以与 Java 运行时环境一起使用的输入方法开发的接口。 java.awt.image 提供创建和修改图像的各种类。 java.awt.image.renderable 提供用于生成与呈现无关的图像的类和接口。 java.awt....
HTTP 响应头Content-Security-Policy
focus on security
08-24 9040
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
.netcore 在response添加header
java950510的博客
11-18 756
在项目的startup里添加header
内容安全策略(Content Security Policy)
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
java web快速入门_Web安全快速入门
cumi6497的博客
07-28 256
快速入门java web Web开发人员针对CORS,CSP,HSTS和所有Web安全首字母缩写词的入门知识! (A web developer’s primer on CORS, CSP, HSTS, and all the web security acronyms!) There are many reasons to learn about web security, such as: 了...
nginx 漏洞修复
趴着的猫的博客
03-21 1万+
nginx
信息安全行业java
10-19
很抱歉,提供的引用内容与信息安全行业Java没有直接关联。但是,Java在信息安全行业中也有广泛的应用。Java语言的跨平台性和安全性使其成为信息安全领域中常用的编程语言之一。Java可以用于开发网络安全工具、加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值