問題タブ [security-policy]

Chrome や Safari などの一部のブラウザーでは、クロスオリジン リクエストが許可されません。これは、ユーザーが同じオリジン セキュリティ ポリシーを尊重する必要があるためです。しかし、これを許可する本当のリスクはどれですか? つまり、同一オリジン セキュリティ ポリシーがなければ、ハッカーはどのような攻撃を実行できるでしょうか?

現在、Java セキュリティ ポリシーでメール送信を許可するために、次のことを行う必要があります。

ただし、IP アドレスは時々変更される可能性があるため、誰かが新しい SMTP サーバーを追加してもアプリケーションが壊れないようにする必要があります。

IP アドレスではなくホスト名に基づいて接続を許可するように妥協することは可能ですか?

ubuntuサーバーでRMIを使用してJavaでコードを開発しました。RMI クライアントとサーバーが同じマシン上にある場合にうまく機能します。2 台のマシン (1 台はサーバーとして、もう 1 台はクライアントとして - どちらも ubuntu) を使用すると、「RMI 接続拒否例外」が発生します。この問題を解決するために、以下のコードを使用して Java ポリシー ファイルを上書きしようとしました。

サーバー側でも同様のコードを使用しました。

クライアントとサーバーのポリシー ファイルの内容は次のとおりです。

上記の「System.setProperty(....)」行で、クライアント側で次の例外が発生しています。

私はJavaやubuntuの専門家ではありませんが、上記の問題を解決するのを手伝ってくれる人はいますか?

-ラシュミ

以下に示すようなエラーが発生します。

https://github.com/sampleref/CXFSecurityに完全な例があり ます。私にとって重要なので、いくつかの入力を提案してください。詳細については、CXF STS client throws Request does not contain Security header/Response message not contain WS-Addressing properties を参照してください。

ありがとう