คำถามติดแท็ก web

ฉันพยายามเข้าใจปัญหาทั้งหมดด้วย CSRF และวิธีที่เหมาะสมในการป้องกัน (ทรัพยากรที่ฉันได้อ่านทำความเข้าใจและเห็นด้วยกับ: OWASP CSRF ป้องกันแผ่นโกง , คำถามเกี่ยวกับ CSRF .) ตามที่ฉันเข้าใจแล้วช่องโหว่รอบ ๆ CSRF ถูกนำเสนอโดยการสันนิษฐานว่า (จากมุมมองของเว็บเซิร์ฟเวอร์) คุกกี้เซสชันที่ถูกต้องในคำขอ HTTP ขาเข้าที่สะท้อนถึงความต้องการของผู้ใช้ที่ผ่านการรับรองความถูกต้อง แต่คุกกี้ทั้งหมดสำหรับโดเมนต้นทางนั้นแนบมากับเบราว์เซอร์อย่างน่าอัศจรรย์ดังนั้นจริงๆแล้วเซิร์ฟเวอร์ทั้งหมดสามารถอนุมานจากการมีคุกกี้เซสชันที่ถูกต้องในคำขอคือคำขอนั้นมาจากเบราว์เซอร์ที่มีเซสชันที่มีการรับรองความถูกต้อง มันไม่สามารถคิดอะไรเกี่ยวกับรหัสได้อีกใช้งานในเบราว์เซอร์นั้นหรือไม่ว่ามันจะสะท้อนถึงความต้องการของผู้ใช้จริงหรือไม่ วิธีการป้องกันสิ่งนี้คือการรวมข้อมูลการรับรองความถูกต้องเพิ่มเติม ("โทเค็น CSRF") ในคำขอซึ่งดำเนินการด้วยวิธีการอื่นนอกเหนือจากการจัดการคุกกี้อัตโนมัติของเบราว์เซอร์ คุกกี้เซสชั่นรับรองความถูกต้องของผู้ใช้ / เบราว์เซอร์และโทเค็น CSRF รับรองความถูกต้องของรหัสที่ทำงานในเบราว์เซอร์ ดังนั้นหากคุณใช้คุกกี้เซสชันเพื่อตรวจสอบสิทธิ์ผู้ใช้แอปพลิเคชันเว็บของคุณคุณควรเพิ่มโทเค็น CSRF ในการตอบกลับแต่ละครั้งและต้องการโทเค็น CSRF ที่ตรงกันในแต่ละคำขอ (กลายพันธุ์) จากนั้นโทเค็น CSRF จะทำการส่งไปกลับจากเซิร์ฟเวอร์หนึ่งไปยังเบราว์เซอร์กลับไปที่เซิร์ฟเวอร์เพื่อพิสูจน์ว่าเซิร์ฟเวอร์ที่หน้านั้นร้องขอนั้นได้รับการอนุมัติจาก (สร้างโดย, แม้แต่) เซิร์ฟเวอร์นั้น ตามคำถามของฉันซึ่งเกี่ยวกับวิธีการขนส่งเฉพาะที่ใช้สำหรับโทเค็น CSRF นั้นในการไปกลับนั้น ดูเหมือนเป็นเรื่องธรรมดา (เช่นในAngularJS , Django , …

284 security  cookies  web  csrf  owasp 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ปรับปรุงคำถามนี้ ฉันนิ่งงันที่พยายามทำให้เกิดความแตกต่างระหว่างเว็บไซต์และเว็บแอปพลิเคชันสำหรับตัวเอง อย่างที่ฉันเห็นเว็บไซต์ชี้ไปที่หน้าเฉพาะและเว็บแอปพลิเคชันเป็น 'พอร์ทัล' มากกว่าสำหรับเนื้อหาและข้อมูล แต่สิ่งที่ฉันติดอยู่ก็คือเว็บแอปพลิเคชันยังคงดูผ่านเบราว์เซอร์ (ไม่ใช่หรือไม่) และเว็บไซต์ยังสามารถดูเนื้อหาแบบไดนามิกทำให้เส้นแบ่งระหว่างเว็บไซต์และแอปพลิเคชันเป็นสีเทา ตัวอย่างเช่นเว็บไซต์ที่ใช้ ASP.NET หรือ AJAX เป็นต้นกลายเป็นเว็บแอปพลิเคชันเพราะสามารถดึงข้อมูลแบบไดนามิกและแบบอะซิงโครนัสหรือเว็บไซต์ที่ใช้ PHP และ CMS เป็นเว็บแอปพลิเคชันมากกว่านี้เพราะเป็นหน้าเว็บตามคำขอ ในคำขอของลูกค้าและเนื้อหาใน databse? หรือบางทีฉันผิดที่นี่ - สิ่งที่แตกต่างระหว่างเว็บแอปพลิเคชันและเว็บไซต์?

279 web  web-applications  terminology 

สมมติว่า URL ของ: www.example.com/?val=1#part2 PHP สามารถอ่านตัวแปรคำขอval1โดยใช้อาร์เรย์ GET ค่าแฮชpart2สามารถอ่านได้ด้วยหรือไม่ หรือมากกว่าเบราว์เซอร์และ JavaScript เท่านั้นหรือไม่

217 http  url  web  language-agnostic  uri-fragment 

ฉันกำลังตรวจสอบวิธีการพัฒนาแอปพลิเคชันเว็บที่เหมาะสมกับ Python เพราะผมไม่ต้องการบางโครงสร้างสูงเพื่อที่จะได้รับในทางของฉันตัวเลือกของฉันลดลงเมื่อมีน้ำหนักเบากรอบขวด เวลาจะบอกได้ว่านี่เป็นตัวเลือกที่ถูกต้องหรือไม่ ดังนั้นตอนนี้ฉันได้ตั้งค่าเซิร์ฟเวอร์ Apache ด้วย mod_wsgi และเว็บไซต์ทดสอบของฉันทำงานได้ดี อย่างไรก็ตามฉันต้องการเร่งขั้นตอนการพัฒนาโดยทำให้ไซต์โหลดซ้ำอัตโนมัติเมื่อมีการเปลี่ยนแปลงในไฟล์ py หรือไฟล์เทมเพลตที่ฉันทำ ฉันเห็นว่าการเปลี่ยนแปลงใด ๆ ในไฟล์. wsgi ของไซต์ทำให้เกิดการโหลดซ้ำ (แม้ว่าจะไม่มี WSGIScriptReloading On ในไฟล์ apache config) แต่ฉันก็ยังต้องแยงมันเอง (เช่นแทรก linebreak พิเศษ, บันทึก) มีวิธีใดบ้างที่จะทำให้เกิดการรีโหลดเมื่อฉันแก้ไขไฟล์ py บางส่วนของแอพ หรือฉันคาดว่าจะใช้ IDE ที่รีเฟรชไฟล์. wsgi สำหรับฉัน

205 python  apache  web  flask 

สำหรับชีวิตของฉันฉันไม่สามารถรับปุ่ม bootstrap twitter เหล่านี้เพื่อตัดข้อความลงบนหลายบรรทัดพวกเขาดูเหมือนเป็นเช่นนั้น ฉันไม่สามารถโพสต์ภาพได้ดังนั้นนี่คือสิ่งที่กำลังทำ ... [นี่คือ bu] ข้อความตัน ฉันอยากให้มันดูเหมือนว่า [นี้เป็น ] [ข้อความปุ่ม] <div class="col-lg-3"> <!-- FIRST COL --> <div class="panel panel-default"> <div class="panel-body"> <h4>Posted on</h4> <p>22nd September 2013</p> <h4>Tags</h4> <a href="#" class="btn btn-primary btn-xs col-lg-12" style="margin-bottom:4px;">Lorem ipsum dolor sit amet, consectetur adipiscing elit.</a> <a href="#" class="btn btn-primary btn-xs col-lg-12" …

186 html  css  twitter-bootstrap  web 

มีหลายเว็บไซต์และหลายโฟลเดอร์ภายใต้ inetpub \ logs \ LogFiles (W3SVC1, W3SVC2, ฯลฯ ) ฉันจะค้นหาโฟลเดอร์ที่ใช้โดยเว็บไซต์ที่กำหนดได้อย่างไร

150 iis  web 

ฉันคิดว่านี่เป็นไปไม่ได้ แต่ฉันคิดว่าฉันถามในกรณีที่มีวิธี แนวคิดคือฉันมีตัวแปรสำหรับพา ธ ไปยังโฟลเดอร์ทรัพยากรบนเว็บ: @root: "../img/"; @file: "test.css"; @url: @root@file; .px { background-image: url(@url); } ฉันได้รับสิ่งนี้เป็นผล: .px { background-image: url("../img/" "test.css"); } แต่ฉันต้องการให้สตริงรวมกันเป็นสตริงเดียวดังนี้: .px { background-image: url("../img/test.css"); } เป็นไปได้ไหมที่จะต่อสตริงเข้าด้วยกันใน Less?

129 css  path  web  less  concat 

ปิด. คำถามนี้ไม่เป็นไปตามหลักเกณฑ์กองมากเกิน ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับ Stack Overflow ปิดให้บริการใน4 ปีที่แล้ว ปรับปรุงคำถามนี้ ฉันไม่มีประสบการณ์กับเครื่องมือประมวลผล / แก้ไขภาพใด ๆ ฉันกำลังทำโปรเจ็กต์ที่ต้องการให้ฉันแปลงรูปภาพ (ไอคอนขนาดเล็ก) ที่มีสีพื้นหลัง (แดง / น้ำเงิน / ขาว) เป็นแบบโปร่งใสสำหรับเว็บไซต์ เป้าหมายคือการเปลี่ยนพื้นหลังสีแดงให้โปร่งใส ฉันควรพิจารณาเครื่องมือแก้ไขภาพใดบ้าง จะกรองสีพื้นหลังและทำให้โปร่งใสได้อย่างไร?

126 image  web 

สำหรับผู้ที่ใช้ Go แบ็กเอนด์ในการผลิต: สแต็ก / การกำหนดค่าของคุณสำหรับการเรียกใช้แอปพลิเคชันเว็บ Go คืออะไร? ฉันไม่ค่อยเห็นหัวข้อนี้มากนักนอกจากคนที่ใช้แพ็คเกจ net / http ของไลบรารีมาตรฐานเพื่อให้เซิร์ฟเวอร์ทำงานต่อไป ฉันอ่านโดยใช้ Nginx เพื่อส่งคำขอไปยังเซิร์ฟเวอร์ Go - nginx with Go สิ่งนี้ดูเหมือนจะเปราะบางสำหรับฉัน ตัวอย่างเช่นเซิร์ฟเวอร์จะไม่รีสตาร์ทโดยอัตโนมัติหากเครื่องรีสตาร์ท (โดยไม่มีสคริปต์การกำหนดค่าเพิ่มเติม) มีการตั้งค่าการผลิตที่มั่นคงกว่านี้หรือไม่? นอกเหนือจากความตั้งใจของฉัน - ฉันกำลังวางแผนที่จะใช้เซิร์ฟเวอร์แบ็กเอนด์ Go ที่ขับเคลื่อนด้วย REST สำหรับโปรเจ็กต์ถัดไปของฉันและต้องการให้แน่ใจว่า Go จะทำงานได้จริงสำหรับการเปิดตัวโปรเจ็กต์จริงก่อนที่ฉันจะลงทุนกับมันมากเกินไป

120 web  go  production 

ฉันมีเว็บไซต์ที่ต้องตอบสนองสำหรับโทรศัพท์มือถือ ฉันได้สร้างมันขึ้นมาโดยใช้เดสก์ท็อป เมื่อฉันปรับหน้าต่างเบราว์เซอร์มันทำงานได้อย่างสมบูรณ์แบบสำหรับโทรศัพท์มือถือ แต่เมื่อฉันตรวจสอบบนโทรศัพท์มือถือจริงของฉัน: Samsung Galaxy S2 มันไม่ตอบสนองต่อมุมมองมือถือ มีอะไรผิดปกติ?

117 mobile  web  responsive-design 

ฉันได้ทำตามคำแนะนำที่นี่: ผู้พัฒนาแอพนี้ไม่ได้ตั้งค่าแอพนี้อย่างถูกต้องสำหรับการเข้าสู่ระบบ Facebook? ทำให้แอปของฉันเป็นแบบสาธารณะและวงกลมเป็นสีเขียวเพื่อให้แอปเป็นแบบสาธารณะ แต่เมื่อฉันพยายามเข้าสู่ระบบฉันไปที่แอพ Facebook มันขอให้ฉันเข้าสู่ระบบซึ่งฉันทำแล้วฉันได้รับข้อความนี้: ไม่ได้ตั้งค่าแอป: แอปนี้ยังอยู่ในโหมดการพัฒนาและคุณไม่สามารถเข้าถึงได้ เปลี่ยนเป็นผู้ใช้ทดสอบที่ลงทะเบียนหรือขอสิทธิ์จากผู้ดูแลระบบแอป BTW: ฉันเป็นผู้ดูแลระบบ ความช่วยเหลือใด ๆ ที่ชื่นชมมาก ฉันใช้ SeattleClouds และสิ่งนี้เกิดขึ้นทั้งบน iOS และ Android

116 android  ios  facebook  api  web 

ฉันใช้ firebase node api ในไฟล์ javascript สำหรับการเข้าสู่ระบบ Google firebase.initializeApp(config); let provider = new firebase.auth.GoogleAuthProvider(); firebase.auth().signInWithPopup(provider); วิธีนี้ใช้งานได้ดีและผู้ใช้สามารถเข้าสู่ระบบด้วยข้อมูลรับรอง Google ของเขาได้ เมื่อผู้ใช้เข้าชมหน้านี้อีกครั้งป๊อปอัปจะเปิดขึ้นอีกครั้ง แต่เนื่องจากเขาได้เข้าสู่ระบบแล้วป๊อปอัปจะปิดโดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้ มีวิธีใดในการตรวจสอบว่ามีผู้ใช้ที่ล็อกอินอยู่ก่อนที่จะแจ้งป๊อปอัปหรือไม่

111 javascript  web  firebase  firebase-authentication 

ฉันกำลังเขียนเว็บแอปพลิเคชันที่ทำงานแตกต่างกันไปตามคำนำหน้า URL รูปแบบเป็นดังนี้: https://myprefix.mycompany.com เว็บแอปทำงานแตกต่างกันไปตาม myprefix เว็บแอปของฉันแยกส่วนนั้นออกจาก URL และดำเนินการตามนั้น อย่างไรก็ตามเมื่อฉันทดสอบในพื้นที่ของฉันฉันใช้ที่อยู่ localhost: https://localhost:1234 ฉันไม่ควรทำสิ่งที่ชอบ: https://myprefix.localhost:1234 วิธีใดเป็นวิธีที่ดีที่สุดสำหรับฉันในการทดสอบสถานการณ์นี้ ขอบคุณมาก

111 http  url  web 

เอกสาร bootstrap ในหัวข้อนั้นทำให้ฉันสับสนเล็กน้อย ฉันต้องการให้เกิดลักษณะการทำงานที่คล้ายกันเช่นในเอกสารที่มีแถบนำทางที่ติดอยู่: แถบนำทางอยู่ด้านล่างส่วนหัวของย่อหน้า / หน้าและเมื่อเลื่อนลงมาควรเลื่อนไปก่อนจนกว่าจะถึงด้านบนสุดของหน้าจากนั้นติดที่นั่นเพื่อแก้ไขเพื่อเลื่อนลงต่อไป . เนื่องจาก jsFiddle ไม่ทำงานกับแนวคิด navbar ฉันจึงได้ตั้งค่าหน้าแยกสำหรับการใช้งานเป็นตัวอย่างขั้นต่ำ: http://i08fs1.ira.uka.de/~s_drr/navbar.html ฉันใช้สิ่งนี้เป็นแถบนำทางของฉัน: <div class="navbar affix-top" data-spy="affix" data-offset-top="50"> <div class="navbar-inner"> <div class="container"> <div class="span12"> <a class="brand" href="#">My Brand</a> This is my navbar. </div> </div> <!-- container --> </div> <!-- navbar-inner --> </div> <!-- navbar --> ฉันคิดว่าฉันต้องการdata-offset-topให้มีค่าเป็น 0 (เนื่องจากแถบควร …

110 css  web  twitter-bootstrap  navbar 

ทดสอบเบราว์เซอร์: เวอร์ชันของ Chrome: 52.0.2743.116 มันเป็นจาวาสคริปต์ง่ายๆที่จะเปิดไฟล์รูปภาพจากโลคัลเช่น 'C: \ 002.jpg' function run(){ var URL = "file:///C:\002.jpg"; window.open(URL, null); } run(); นี่คือโค้ดตัวอย่างของฉัน https://fiddle.jshell.net/q326vLya/3/ โปรดให้คำแนะนำที่เหมาะสมกับฉัน

108 javascript  jquery  google-chrome  web  window.open