- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我们知道 URL 本身并不是传递或存储信息的安全方式。太多的程序会对 URL 执行意外处理,甚至通过网络传送它,一般来说,URL 的隐私性并没有受到高度重视。
例如,过去我们看到过比特币钱包,它们依赖于对 URL 保密,但他们发现有太多方法可以让 URL(通过 Skype 发送,或通过电子邮件发送,或即使只是将其输入 Google Chrome omnibar)也会被远程服务器存储,并可能公开显示。
所以我认为 URL 将永远被遗弃,作为一种携带任何私有(private)数据的方式......尽管它非常方便,但现在我看到一些网站正在使用 URL 片段 - URL 之后的部分'#'——作为一种“安全”存储。我认为谷歌不会解析该片段并允许它出现在搜索结果中,因此不应发布数据。
但这似乎是您产品安全性的一个非常薄弱的基础。有一种方法可以安全地移动 URL 片段中的数据,这将带来巨大的好处,但我们真的可以依赖它吗?
所以,我真的很想了解......任何人都可以解释一下,片段标识符的安全模型是什么?
最佳答案
Tyler Close 和其他为 Waterken 做安全架构的人对此进行了相关研究。他们在 URI 片段中使用不可猜测的字符串作为 web-keys :
This leakage of a permission bearing URL via the
Referer
header is only a problem in practice if the target host of a hyperlink is different from the source host, and so potentially malicious. RFC 2616 foresaw the danger of such leakage of information and so provided security guidance in section 15.1.3:"Because the source of a link might be private information or might reveal an otherwise private information source, … Clients SHOULD NOT include a
Referer
header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol."不幸的是,客户已严格执行此指南,即
Referer
如果引用页面和目标页面都使用 HTTPS,但由不同的主机提供服务,则会发送 header 。这种对 Referer header 的狂热使用会给 Web key 概念的实现带来重大障碍,如果不是因为一个不相关但幸运的是,对使用
Referer
的要求。 header 。 RFC 2616 第 14.36 节管理Referer
的使用 header ,指出:“URI 不得包含片段。”已部署的 Web 浏览器的测试表明此要求已普遍实现。将无法猜测的权限 key 放在片段段中会生成一个类似于以下内容的 https URL:
<https://www.example.com/app/#mhbqcmmva5ja3>
.获取表示
将 key 放在 URL 片段组件中可防止通过
Referer
泄露 header 但也使取消引用操作复杂化,因为该片段也未在Request-URI
中发送一个 HTTP 请求。使用 Web 2.0 的两个基石:JavaScript 和 XMLHttpRequest 可以克服这种复杂性。
所以,是的,您可以使用片段标识符来保存 secret ,但如果您的应用程序容易受到 XSS 攻击,这些 secret 可能会被窃取和泄露,并且片段标识符没有等效的仅限 http cookie。
我相信 Waterken 通过在以与许多敏感守护程序相同的方式运行任何应用程序代码之前从片段中删除 secret 来缓解这种情况 zero-out their argv
.
关于security - 使用片段标识符在 URL 中保存私有(private)数据有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20757583/
如果需要在类外访问静态(例如单例),可以选择公共(public)静态而不是私有(private)静态,而当不需要公开函数时首选私有(private)静态(否则未命名的命名空间就可以了)——在这种情况下
在互联网上进行了一些搜索,但找不到简单的答案。我的问题集是在 Android 框架中使用 Java,但我相信这也是标准的 Java 行为。我理解 final 和 private 的定义,它们都用于变量
我有这个代码: public final class Board { private final int[][] blocks; private final int N; pr
对我来说,过去作为 Objective-C 开发人员很简单。一个类需要公开的每个字段都是一个属性,每个私有(private)字段都是一个没有 getter 或 setter 的实例变量。但我经常看到人
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我有一个在 Docker 容器中运行的应用程序。它需要来自公司私有(private) NPM 注册表(Sinopia)的一些私有(private)模块,并且访问这些需要用户身份验证。 Dockerfi
我试图理解 C# 使用 getters 和 setters 自动声明变量与 java 声明之间的区别。 在java中我通常这样做: private int test; public int getTe
我在 Azure 中创建了 VNET。我放入了一个子集 Azure Private Link,它在 VNET 之外和另一台虚拟机中调用 Azure Function。 当我尝试通过专用 IP 调用专用
我在 Azure 中创建了 VNET。我放入了一个子集 Azure Private Link,它在 VNET 之外和另一台虚拟机中调用 Azure Function。 当我尝试通过专用 IP 调用专用
我目前正在使用 Objective-C(适用于 iPhone)构建游戏。 为此,出于性能/复杂性原因,我略微打破了 MVC,并为 View (渲染器)提供了对模型的直接引用。这是因为它应该以 60fp
我已经在 ubuntu 上成功配置了 2 个虚拟主机站点(基于名称的虚拟主机)。我的 apache 版本是 2.2.22。 这两个站点都在本地主机上工作。 /etc/hosts 条目 127.0.0.
考虑下面的类 public class A { private final Map cache; public HeavyObject getThing(); } 假设不能泄漏对缓存
我有一个类,它有一个方法,我希望它只能被它的子对象访问,而不能被这个包中的其他类访问。 Modifier | Class | Package | Subclass | World ———————
本文实例讲述了JavaScript中的公有、私有、特权和静态成员用法。分享给大家供大家参考。具体分析如下: 下面的内容是在《JavaScript.DOM高级程序设计》里面摘抄出来的,比较容易理解,
我有一个用例,我已将其简化为以下程序: public class A { private int x = 100; class B { private int y = ne
问题: 类声明如下: class Select { public: template static Iterator function(Iterator , Iterator , bo
我是一名初级 PHP 程序员。我还有很多东西要学。这就是我问这个问题的原因。在一个类中,您有一个公共(public)函数,您可以从该类外部调用它。有时你有一个私有(private)函数,你可以在私有(
问题是: 何时使用私有(private)函数,何时使用嵌套函数? (我在问 F# 但也许答案可能与其他功能语言相关) 一个小例子 namespace SomeName module BinaryRea
我发现工作表中仍然可以使用私有(private)函数。它们是隐藏的,但如果用户输入他们的名字,他们就会被调用。为什么?它应该以这种方式工作吗?有没有办法完全阻止用户定义的函数在 VBA 项目之外使用?
所以我最近开始尝试使用 Kotlin,我偶然发现了这个: If a top-level declaration is marked private, it is private to the pack
我是一名优秀的程序员,十分优秀!