問題タブ [websecurity]

とにかく、入力のサニタイズをバイパスして HTML インジェクションを行う方法はありますか。

bWAPP からの演習です。HTMLi を実行しようとすると、入力の検証がチェックされ、特殊文字がサニタイズされます。サニタイズ用のコードが添付されています。コードをバイパスして HTML インジェクションを実行する方法は他にありますか?

こんにちは、現在、Angular アプリケーションと Java バックエンドがあります。私のAngularコンポーネントhtmlには、プロフィール写真などの画像があります。画像ファイルを提供するリソースは、Spring セキュリティで保護されています。私の質問は、画像の URL の一部として json Web トークンを追加するのは悪いことですか? セキュリティ侵害を引き起こす可能性はありますか? それは悪い習慣ですか？

以下は、chrome 開発者ツールからの角度コードの外観です。

どんな助けでも大歓迎です。http get 要求ヘッダーの一部として access_token を渡したいのですが、どこにも適切なコードが見つかりませんでした。どんな助けでも大歓迎です。

親サイトで発生したログインを許可して、iframe サイトへのログインを自動的に許可したいと考えています。

具体的な状況は次のとおりです。

シンプルなログインページのサイトがあります。ログイン後、ユーザーには一連の URL を含むメニューが表示されます (基本ドメインはすべて同じですが、ポートは異なります)。

ユーザーがメニュー項目の 1 つを選択すると、URL が iframe に読み込まれます。

メニューは、データベース テーブルから駆動されます。

すべての URL は IIS から読み込まれますが、それらはすべて異なるポートで実行されるため、それらを再起動して、日中に新しいものをデプロイできるように制御できます。

私が苦労しているのは、メイン サイトのログインを許可して iframe サイトの安全なログインを許可する方法を見つけることです。

つまり、メイン サイトにログインしたユーザーのユーザー ID を iframe サイトが安全に知るにはどうすればよいでしょうか。

これらは、iframe されている任意のサイトではありません。私たちはすべてのソースコードを管理しています。

Angular を使用して構築されたアプリケーションがあります。また、アプリケーションはバックエンド REST API をトリガーしてデータを表示します。

問題は、

アプリケーションはLDAP SSO認証を使用してユーザーを検証します（社内アプリケーションであるため、外部ユーザーはいません）

手順は、

1. ユーザーがサイトを起動すると、ユーザーが認証用のユーザー名とパスワードを提供する WebSec ログインにリダイレクトされます (暗黙的なフロー)。

2. 認証が成功したら、WebSec からのアクセス トークンを JWT します。これはセッション ストレージに格納され、バックエンド サービスの「ベアラー」トークンとして使用されます。

3. バックエンド サービスには、この JWT トークンを検証するための WebSec 証明書があり、そうでない場合は認証エラーで応答します。

フロント エンドの場合 - Angular を使用しています。バック エンドの場合 - Java、Sprint ブートです。

質問は、

1. これはユーザー認証の正しい方法ですか?
2. もしそうなら、Implicit フローはどれくらい安全ですか。参照: https://www.instagram.com/developer/authentication/ - 誰もが明示的なフロー (サーバー側の呼び出し) を推奨しています。UI アプリは別のサーバーで維持され、バックエンド サービスは別のサーバーで維持されます。

誰かがこれに関する解決策を提供してくれれば幸いです。