个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我的一位同事说使用 spring 默认登录输入参数存在安全风险。我没有问他为什么。我不相信,因为 https 连接会在发布参数时对其进行加密。一些澄清会有所帮助。谢谢。
最佳答案
如果没有解释他认为可能存在风险的原因,很难说。
唯一(非常小)的问题可能是有人可能会看到它们并能够猜测您正在使用 Spring Security。但这本身并不是天生的风险。标准 Java EE servlet 安全性还使用 j_username 和 j_password 作为登录参数。
在任何情况下,您都可以更改配置中的名称,以及表单提交到的 URL。你也可以change the session cookie name使您甚至在使用 Java 应用程序时不那么明显。当然,如果您的应用程序具有 .jsp URL 并在出现问题时将堆栈跟踪信息转储给用户,那么这些都无关紧要。
我会请您的同事 self 解释并提供一些证据来证明他的论断以及他认为这是一个问题的原因。更改参数是个好主意,但如果不这样做,不太可能成为主要风险。
关于ssl - 使用 j_username 和 j_password 作为输入字段名称是否存在安全风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24595620/
26
4
0
我构造了一个在“springSecurityFilterChain”之前运行的过滤器,并且该过滤器需要j_username作为其doFilter 方法。不幸的是,在成功的身份验证结束之前,不可能使用主
我有一个具有 FORM 类型身份验证机制的 Web 应用程序,因此当用户请求 protected 资源时 login.jsp 会拦截该请求,发送 j_username 和 j_password 到服务
我想知道如何获取请求参数“j_username”和“j_password”的值? 使用基于表单的身份验证成功登录后,我希望我的 servlet 获取参数“j_username”和“j_password
我的一位同事说使用 spring 默认登录输入参数存在安全风险。我没有问他为什么。我不相信,因为 https 连接会在发布参数时对其进行加密。一些澄清会有所帮助。谢谢。 最佳答案 如果没有解释他认为可
为什么要这样做? 而不是这个? j_username 和 SPRING_SECURITY_LAST_USERNAME 变量的值是多少? 最佳答案 j_username 和 j_password 是
我在 login.jsp 上使用 j_security_check。服务器是 GlassFish Server 3。一切正常,当用户通过身份验证后,它会打开 index.jsp。我的问题是我需要在我的
我几乎无法让 webdriver 等待工作,而且我不明白为什么。我遵循为其他人工作的示例,最近的是 How to wait until the page is loaded with Selenium
我是一名优秀的程序员,十分优秀!