web service
来源:互联网 发布:sap erp 知乎 编辑:程序博客网 时间:2024/06/07 13:35
安全牛web安全笔记
webservice 安全考虑
----使用api key 或者session token 实现和跟踪身份认证
----身份认证由服务器完成,而非客户端
----API key 用户名, session token 永远不要用url发送
----RESTful默认不提供任何安全机制,需要使用ssl/tls保护传输数据安全
----SOAP提供千余HTTPS的WS-security 机制
----使用Oauth或者HMAC进行身份验证,HMAC身份认证使用c/s共享的密钥加密API key
----RESTful应只允许身份认证用户使用put delete方法
----使用随机token方式csrf
----对用户提交参数过滤,建议部署基于严格白名单的方法
----错误消息消毒,不要把原始的报错信息发送出去
----直接对象引用应严格身份验证
Oauth 和 HMAC
0 0
- Web Service
- Web Service
- web-service
- Web Service
- web service
- Web Service
- WEB SERVICE
- WEB SERVICE
- web service
- Web Service
- Web Service
- web service
- web service
- Web Service
- Web Service
- Web Service
- Web Service
- Web Service
- Delphi产生任务栏图标【TNotifyIconData】
- 常见用户关心问题
- Linux下Redis服务器安装配置
- 欢迎使用CSDN-markdown编辑器
- Js_正则表达式验证 IP
- web service
- Js_限制上传文件类型
- ubuntu更换源
- Linux_10 Useful du (Disk Usage) Commands to Find Disk Usage of Files and Dir
- Mac 不显示任何来源选项
- Js_window.setInterval & window.setTimeout
- HDU1348 Wall 【简单凸包】
- MQTT服务器搭建--Mosquitto用户名密码配置
- META http-equiv 大全