問題タブ [security-constraint]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
jsp - JSF Web アプリケーションでの直接 URL アクセスのブロック
私のプロジェクトでは、JSF Web アプリケーションでの直接 URL アクセスを制限したいと考えています。web.xmlでセキュリティ制約を構成するための提案を提供するWeb上で見つけましたが。
そのため、への直接 URL アクセスを制限できます/manage/*.jsp。/view/*.jspしかし、 、 など、制限するフォルダーがたくさんあります/others/*.jsp。また、エラーが発生したときにページを表示したいと考えています。
java - ファイル拡張子を持つ URL パターンに web.xml のセキュリティ制約が適用されない
web.xml に次のセキュリティ制約を入力しました。私の目的は、XML ファイルがパブリック エリアにあることです。これは、/images/*フォルダーに対して機能します。ただし、url-pattern*.xmlは機能していないようです。何か案は ?
tomcat - web.xml の複数のセキュリティ制約が機能しない
ほとんどのページで基本認証を必要とする Web アプリケーション (Servlet 3.0 / Tomcat 7) をアップグレードしています。このアプリケーションには監視サーブレットの小さなセットがあり、どれも保護する必要はありません。私web.xmlの には、現在次のsecurity-constraintブロックがあります (プライベート情報はアルファベットの文字に置き換えられています):
「ヘルス」パス内には、次の 3 つのエンドポイントがあります。
/health/monitor/status/health/monitor/version/health/monitor/version/xml
いずれかのエンドポイントにアクセスしても、version(予想どおり) 資格情報の入力を求められません。しかし、そのstatusページにアクセスすると、ブラウザーに基本認証ボックスが表示されます。「キャンセル」を押すと、通常どおりページをロードできます。同様に、すでにログインしている場合は、ログインの有効期限が切れるまで、ステータス画面で再度プロンプトが表示されることはありません。
これは、安全なコンテンツを にデプロイしないことで解決できることはわかってい/*ますが、それを移動するには、ハードコードされたパスを変更してテストするのに多くの作業が必要です (非常に古いアプリケーションです)。行う。必要に応じてこれを行うことにオープンですが、安全なコンテンツ パスを変更せずにこれが可能かどうかを確認したかったのです。監視サーブレットのパスは完全に自由です。
これはTomcat 7に関連しているようです-複数のセキュリティ制約が機能していませんが、完全な失敗ではなく、エンドポイントの1つだけが失敗しているため、非常に奇妙です。検索に時間を費やしましたが、私がやっていることはうまくいくように見えます...しかし、うまくいきません。
バージョン 3.0を使用web-appして、Tomcat 7 にデプロイしています (バージョン 7.0.42 と 7.0.47 を試しました)。私はすでにsecurity-constraintブロックの順序を変更しようとしました。
考え?
これが参考のための私の完全なweb.xmlものです(監視サーブレットはJavaアノテーションを介して管理されるため、存在しないことに注意してください):
java - Tomcat: context.xml でセキュリティ制約を定義する
Define a <security-constraint> outside of web.xml (eg server-wide)と同様に、アプリケーションの WEB-INF/web.xml の外でセキュリティ制約を定義しようとしています。ただし、その質問とは異なり、サーバー全体で定義したくありません。META-INF/context.xmlセキュリティ制約を と の両方に入れようとしました${catalina.home}/conf/Catalina/localhost/<myapp>.xml。security-constraints を追加すると問題${catalina.home}/conf/web.xmlなく動作しますが、これはサーバー上のすべてのものに対して行われます。可能であればこれを回避しようとしています。
セキュリティ制約を a で定義する必要があると明確に述べているドキュメントは見つかりませんがweb.xml、これは事実のようです。これは本当ですか?
java - siteminder から取得したユーザー名に基づいてホームページに制限付きリンクを表示するには
siteminder 認証があり、siteminder からスクリーン名 (ユーザー名) を取得できます。次に、スクリーンネームに基づいてグループを作成する必要があります。グループは管理者とその他になります。スクリーンネームが admin グループの下にある場合、スクリーンネームが他のグループの下にある場合、他のすべてにアクセスできます。他のグループがアクセスできるリンクのみを含む別のホームページが表示されます。どうすればこれを達成できますか?
レルム、ユーザー、グループ ロール メソッドを使用しようとしましたが、ユーザー名とパスワードの入力を求められます。また、スクリーンネームに基づいてフィルタリングしたいので、ユーザー名とパスワードを使用したくありません。
PS: スプリング フレームワークやその他のフレームワークの知識がありません。私は JSP とサーブレットしか知りません。
よろしく、イーサン
jakarta-ee - セキュリティ上の制約により、HTTPS 経由でページが開かない
一部のページを安全に開いてほしい。これらのページのほとんどは、「my_Account_」という名前で開始されています
たとえば、これらのページの 1 つは「my_account_add_credit_card.xhtml」です。
これを行うために、以下のコードを web.xml に入れました
しかし、うまくいきませんでした。以下のようにURLパターンも変更しました
それはうまくいきましたが、問題は、これがHTTPSですべてのページを開くことです.HTTPSですべてのページを開きたくありません. 「my_account_」で始まるページを開くだけです。
グラスフィッシュを使っています