摘要:
在使用cxf实现webservice时,经常碰到的问题就是如果在服务端,修改了一个接口的签名实现,如增加一个字段,或者删除一个字段。在这种情况下,在默认的配置中,就会报以下的错误信息: Caused by: javax.xml.bind.UnmarshalException: unexpected element (uri:"", local:"type"). Expected elements are ,,,,,,,,,,,,,,,,,,,,, ,,, 这种错误是客户端使用的传输对象与服务端接收的参数的字段不匹配导致的。但如果,每次修改服务端的实现,都 阅读全文
摘要:
IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法appscan修订建议:如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。 /* PUT DELETE HEAD OPTIONS TRACE 阅读全文
摘要:
IBM appcsan扫描安全漏洞--会话标识未更新appcsan修订建议:始终生成新的会话,供用户成功认证时登录。 防止用户操纵会话标识。 请勿接受用户浏览器登录时所提供的会话标识在登录验证成功之后调用下面方法@SuppressWarnings("unchecked") private void createNewSession(HttpServletRequest request, HttpServletResponse response) throws Exception { HttpSession oldSession = request.getSession(); 阅读全文
摘要:
IBM appscan扫描漏洞--跨站点请求伪造appscan修订建议:如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”,因此,攻击者无法伪造一个虚假的请求,让服务器误以为真。 攻击者难以猜测且无法访问的任何秘密(也就是无法从其他域访问),都可用来替换会话标识。 这可以防止攻击者设计看似有效的请求。比较容易想到的有下面两种思路:方案一:每个请求都 阅读全文