个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
39
4
使用 Spring RestTemplate 时,Fortify 报告中出现“服务器端请求伪造”问题。
我正在使用restTemplate 调用其他一些REST 服务,并从我的 Controller 类传递此url。该 URL 是硬编码在我的 Controller 中的,而不是用户控制的数据。
HttpEntity<R> response = restTemplate.exchange(uri, HttpMethod.POST, entity,
parameterizedTypeReference);
不确定如何解决此问题。
最佳答案
SSRF被控制服务器发出的传出请求的攻击者利用。如果 uri 确实是硬编码的,那么攻击者就无法影响请求的去向,因此它确实看起来是误报。然而,尽管 Fortify 因误报而闻名,但我还没有看到它犯过这种类型的错误(即尽管有硬编码的 URI,但仍声称有 SSRF),所以听到这个消息我有点惊讶。您检查过 Fortify 提供的整个源到接收器跟踪吗?如果它仅报告一条线路作为源和接收器,那么是的,这是误报。如果还有更多,那么如果您提供完整的跟踪将会很有帮助。
关于java - 如何修复 spring RestTemplate 中的 "Server-Side Request Forgery"问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52775798/
39
4
0
我有一个网站,人们可以像这样进行投票: http://mysite.com/vote/25 这将对第 25 项进行投票。我只想将其提供给注册用户,并且仅当他们想要这样做时。现在我知道有人在网站上忙的时
我有一个网站,人们可以像这样进行投票: http://mysite.com/vote/25 这将对第 25 项进行投票。我只想将其提供给注册用户,并且仅当他们想要这样做时。现在我知道有人在网站上忙的时
我正在尝试为我的液体主题语言构建一个表单 block 。我的方法基于 this answer 。然而答案似乎不完整。 问题在于防伪和其他一些方法不可用。导致错误: Liquid error: unde
我正在尝试使用 HttpWebRequest 从没有已发布 API 的网站请求 JSON 数据 var cookieJar = new CookieContainer();
我复制了一些在 compojure 1.1.18 和其他旧库中工作的旧代码,但使用最新版本我无法让它工作。 这是我的 minimal example code复制自 the minimal examp
我正在试用 WSO2 身份服务器。 我下载了 5.4.0 版本,并用 wso2server.bat --run 在我的 Windows 机器上启动了服务器。 . 如果我尝试使用默认凭据 (admin/
使用 Spring RestTemplate 时,Fortify 报告中出现“服务器端请求伪造”问题。 我正在使用restTemplate 调用其他一些REST 服务,并从我的 Controller
我有一个 MVC2 应用程序。我正在尝试实现 AntiForgeryToken 帮助程序来防止 CSRF 攻击。 我正在使用 Steve Sanderson 的博客实现这一点:http://blog.
如何使用防伪 token 将数组发布到 Controller 上的操作。 这是我的 Jquery postdata: var postData = { '__RequestVerificationTo
我在正常使用过程中偶尔会遇到此错误,而且我还没有找到一种方法来阻止它而不删除需要 token 的属性,我宁愿不这样做。 我在自己的测试中遇到了这个错误(但似乎是随机的),我从我的日志中知道实际登录的用
在我的部分 View 中,我使用了一些 jquery 代码来提交表单。但是我收到了此错误。所需的防伪表单字段“__RequestVerificationToken”不存在。 如您所见我在我的部分 Vi
在 Mono 上运行的 MVC4 应用程序中出现错误: The anti-forgery cookie token and form field token do not match 在“登录和注册”
我们在 Azure 中托管的网站的错误日志中随机出现“防伪 cookie token 和表单字段 token 不匹配”错误。在意识到我们需要一个静态机器 key 后,我们将其添加到带有validati
我最近升级到最新版本的 facebook SDK,但在登录用户时遇到了问题。我生成的登录链接很好,但是当 facebook 将用户用 token 发送回我的网站时,我收到此错误: fb sdk 错误:
我收到这个错误: The provided anti-forgery token was meant for a different claims-based user than the curren
我想通过 AntiforgeryToken 属性来保护我们的登录操作-我知道为什么会发生该主题的异常,但是我似乎找不到任何好的解决方案。 假设我们有以下情况: 现在是8:00 AM,应用程序用户开始工
我不确定这里发生了什么,但我在我的 cookie 中看到 2 个不同的标记。一个是“XSRF-TOKEN”,另一个是“.AspNetCore.Antiforgery.OnvOIX6Mzn8”,它们具有
我正在尝试像这样使用 php sdk 获取 Facebook 用户 ID $fb = new Facebook\Facebook([ 'app_id' => '11111111111',
我问了这个question不久前,发现 IE 会阻止 iframe 中的跨域 cookie,除非您设置 p3p policy 。到目前为止,p3p 修复在 ie 中运行良好。然而,现在我们在 safa
我是一名优秀的程序员,十分优秀!