من اسکریپتی ساخته ام که می تواند برای سوءاستفاده از نادرست تنظیم CORS مورد استفاده قرار گیرد. اسکریپت خوب است اما اگر بخواهم با درخواست xhttp.setRequestHeader ("test_header" ، "test_value") یک سرصفحه اضافی برای درخواست ارسال کنم این برای اولین بار درخواست پیش پرواز (OPTIONS) را ارسال می کند که شامل [19659002] Access-Control-Request-Headers: header_name که سرور…
برنامه وب – برگشت شماره تأمین اجتماعی پس از بررسی اعتبار سنجی در فرم مبتنی بر وب
من یک فرم درخواست مبتنی بر وب دارم که برای جمع آوری اطلاعات شخصی برای کاربران مبتنی بر وب استفاده می شود. یکی از زمینه ها SSN است. سوال من ساده است ، از نظر رعایت امنیت (به طور کلی OWASP ، PCI ، SOC2 و غیره) ، آیا صحیح است که SSL را هنگام…
u2f – آیا تزریق مواد اصلی من به تأییدکننده تأیید اعتبار سنجی را تضعیف می کند؟
من می خواهم بتوانم مواد اصلی من را در شناسنامه FIDO2 تزریق کنم. حداقل این امر نیاز به اعتماد به فروشنده را برطرف می کند (زیرا ما هیچ تضمینی نداریم که فروشنده نسخه های اصلی کلیدها را به دلیل درخواست دولت یا به هر دلیلی دیگر برای خود نگه دارد). بنابراین من معتقدم که برای…
امضای دیجیتالی – با داشتن یک باینری که دارای امضای کد است ، چگونه می توانم بگویم که آن را با گواهی اعتبار سنجی تمدید شده (EV) امضا کرده اید؟
این واقعیت که این یک گواهینامه EV است در ویژگی خط مشی گواهینامه که در تصویر شما نشان داده شده است ، ظاهر می شود. خط مشی گواهینامه قوانینی را كه CA توسط آنها صادر كرده است ، مشخص می كند. در این حالت ، نشان می دهد که Digicert ادعا می کند که مطابق…