gpt4 book ai didi

java - 通过浏览器注入(inject) header

转载 作者:行者123 更新时间:2023-12-01 12:27:08 25 4
gpt4 key购买 nike

我有一个包含 7 台服务器的集群应用程序。

应用程序使用负载平衡器将用户重定向到服务器。

它使用 SiteMinder 进行身份验证。

对于身份验证,我们查看请求req.getHeader("HEADER_NAME")

header 名称由 SiteMinder 传递到应用程序,并对用户进行身份验证。

当我们使用负载均衡器 URL 时,它可以很好地进行身份验证,因为 SiteMinder 会处理任何可能的注入(inject)。

但是当我们使用特定的服务器 URL 时,我们可以注入(inject)任何 header (例如在 Firefox 中使用修改 header ),这就是问题所在。

有没有办法识别 header 是否被注入(inject)?

谢谢

最佳答案

假设您正在查找的 header 仅包含经过身份验证的用户的用户名,不,您无法识别 header 是否已注入(inject),因为它在服务器上看起来与 SiteMinder 添加它时完全相同。

如果有任何选项可以对 header 进行加密、散列或签名,那么这将是检查篡改的有效方法。

如果失败,您可以限制对直接服务器 URL 的访问,以便只有运行 Site Minder 的负载均衡器才能访问它们。为了实现这一点,您不会将公共(public) IP 路由到服务器本身。

关于java - 通过浏览器注入(inject) header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26243148/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com