gpt4 book ai didi

security - "shareable"url 安全指南

转载 作者:行者123 更新时间:2023-12-02 21:44:13 26 4
gpt4 key购买 nike

我正在规划一个网络应用程序,允许用户无需登录即可创建资源。我计划通过创建独特的难以猜测的 URL 来使用 Google Docs/Pastebin 风格的安全性。 (例如 example.com/ytasdfweoirue/)

有哪些需要注意的事项?您在设计 token 生成器时会使用什么准则?我应该考虑哪些事情?有没有最好的角色可供选择?

我的后端可能是 CouchDB,但我对与平台无关的一般准则以及任何平台中可能出现的问题感兴趣。

最佳答案

使用 PRNG

您应该生成一个带有 PRNG 的随机 URL ,而不是使用框架最简单的 Random() 函数。 (仅供引用,理论上 .NET GUID 并不是为了安全而设计的,实际上在 Web 应用程序中应该没问题,但你已经被警告了)

不要在“隐藏”页面中包含第三方资源

确保访问者访问的页面不包含任何第 3 方资源(javascript、图像、Flash 动画等)。几乎所有这些资源都会通过 REFERRER 泄露当前 URL,并且您隐藏的 URL 将暴露给所有这些第 3 方资源派对。即使您使用 HTTPS 并且包含的​​ URL 使用 HTTPS,情况也是一样的。

如果必须的话,请勿包含指向第三方网站的链接

如果您提供的页面包含指向第 3 方 URL 的链接,那么 REFERRER 泄漏可能会成为问题。在这种情况下,您可以从公共(public)页面重定向它们(如果这样做,请小心 Open Redirect 漏洞),或者您可以使用 JavaScript 技巧来剥离 REFERRER。

关于security - "shareable"url 安全指南,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4400721/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com