第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問題,去搜搜看,總會(huì)有你想問的

HTTP 安全配置authorizeRequests() 出現(xiàn) Sonar 嚴(yán)重缺陷

HTTP 安全配置authorizeRequests() 出現(xiàn) Sonar 嚴(yán)重缺陷

holdtom 2023-12-13 16:41:39
我有一個(gè) Spring Boot 應(yīng)用程序,在調(diào)用 AuthorizeRequests() 的行中,我的配置函數(shù)出現(xiàn)以下聲納嚴(yán)重缺陷。我應(yīng)該如何修復(fù)它?謝謝。Make sure that Permissions are controlled safely here. Controlling permissions is security-sensitive.  It has led in the past to the following vulnerabilities: CVE-2018-12999 CVE-2018-10285 CVE-2017-7455我的配置類:@Configuration@EnableWebSecuritypublic class MyConfig extends WebSecurityConfigurerAdapter {      @Override      protected void configure(HttpSecurity http) throws Exception {      http                    .authorizeRequests()  // Sonar complain this line here        .antMatchers("/v1/").permitAll()        .antMatchers("/**").authenticated()        .and().httpBasic()        .and().cors();   }}
查看完整描述

1 回答

?
眼眸繁星

TA貢獻(xiàn)1873條經(jīng)驗(yàn) 獲得超9個(gè)贊

我剛剛查找了聲納中的錯(cuò)誤描述,下面是聲納中的錯(cuò)誤描述。

控制權(quán)限是安全敏感的。它在過去導(dǎo)致了以下漏洞:

  • CVE-2018-12999

  • CVE-2018-10285

  • CVE-2017-7455

攻擊者只能破壞他們有權(quán)訪問的內(nèi)容。因此,限制他們的訪問是防止他們?cè)斐蓢?yán)重破壞的好方法,但必須采取正確的做法。

此規(guī)則標(biāo)記控制對(duì)資源和操作的訪問的代碼。目標(biāo)是指導(dǎo)安全代碼審查。

以下是導(dǎo)致聲納問題的代碼

.authorizeRequests()  // Sonar complain this line here

.antMatchers("/v1/").permitAll()

.antMatchers("/**").authenticated()

正如我在您的問題的評(píng)論中提到的,不要盲目授權(quán)請(qǐng)求,訪問應(yīng)該受到限制,如下所示


http.authorizeRequests()

  .antMatchers("/", "/home").access("hasRole('USER')")

  .antMatchers("/admin/**").hasRole("ADMIN")

  .and()

  // some more method calls

如果這是您的測(cè)試/非生產(chǎn)代碼,只需在抱怨問題的行添加//NOSONAR,聲納將繞過它,但**不要在生產(chǎn)環(huán)境中使用//NOSONAR。


查看完整回答
反對(duì) 回復(fù) 2023-12-13
  • 1 回答
  • 0 關(guān)注
  • 302 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)