开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

IOS13和OSX10.15 (.NET)上Safari中的SAML请求不安全

SAML（Security Assertion Markup Language）是一种用于在不同的安全域之间传递身份验证和授权信息的XML标准。它允许用户在一个身份提供者（IdP）处进行身份验证，然后将授权信息传递给一个服务提供者（SP），以便用户可以访问受保护的资源。

在IOS13和OSX10.15上的Safari浏览器中，存在SAML请求不安全的问题。具体来说，这些版本的Safari浏览器在处理SAML请求时，可能会忽略对请求的签名验证，从而导致潜在的安全漏洞。

这个问题的存在可能导致攻击者能够伪造SAML请求，冒充其他用户身份访问受保护的资源。这对于企业和组织来说是一个严重的安全风险，可能导致数据泄露、未经授权的访问等问题。

为了解决这个问题，建议采取以下措施：

更新浏览器版本：确保使用的Safari浏览器是最新版本，以便获得最新的安全修复和改进。
配置安全策略：在SAML身份提供者和服务提供者之间建立安全策略，确保对SAML请求进行签名，并验证签名的有效性。这可以通过配置SAML身份提供者和服务提供者的安全设置来实现。
监控和审计：定期监控和审计SAML请求的流量和活动，以便及时发现异常行为和潜在的安全威胁。
教育用户：提高用户的安全意识，教育他们如何识别和避免潜在的网络钓鱼和身份欺诈攻击。

腾讯云提供了一系列与身份认证和授权相关的产品和服务，可以帮助企业和组织解决SAML请求不安全的问题。以下是一些相关产品和服务的介绍链接：

腾讯云身份认证服务（CAM）：https://cloud.tencent.com/product/cam
腾讯云访问管理（TAM）：https://cloud.tencent.com/product/tam
腾讯云安全加固服务：https://cloud.tencent.com/product/sss

请注意，以上答案仅供参考，具体的解决方案和推荐产品应根据实际情况和需求进行评估和选择。

相关搜索:溢出属性在iOS和MacOS上的Safari中奇怪地工作 iOS上的selectize.js需要双击才能同时关闭safari和chrome中的项目在.NET UWP应用中是否有接收和处理http请求的方法？使用ASP MVC 3 RC和.NET 4中的Request.Unvalidated()验证请求在asp.net中发布同一请求中的文件和对象列表使用CORS在IIS上运行的Angular 2和.net核心web应用之间的HTTP 415 OPTIONS请求我可以在Mac上的docker容器中运行Visual Studio和.Net框架吗？必须在servlet和异步请求处理中涉及的所有筛选器上启用异步支持 Flexbox项目在最新的Safari和Chrome中不能包装(在flex-container上使用max-width，在flex-item上使用flex-basis )如何在Mac上使用JetBrains Rider开发和调试运行在Docker中的.NET核心应用在angular 9和spring boot 2中请求的资源上没有'Access-Control-Allow-Origin‘标头 Chrome和Firefox中的NET::ERR_CERT_AUTHORITY_INVALID在nginx上使用有效证书进行本地认证在绑定到ASP.NET MVC中模型的嵌套部分时，避免输入元素上的ID和名称前缀如何在本地克隆的存储库上使用git在bash / shell中列出拉取请求的标题、状态和日期如何修复“请求URI.‘中未提供回调参数。”使用跨域的ajax post方法和asp.net api出错在运行在ASP.NET Core2.2上的中间件中，有没有办法检测该请求是否是针对ApiController的？在我的asp.net mvc核心web应用程序中，在同一行上显示Lebel和CheckBox 如何在Windows Server2019上运行的ASP.NET MVC应用程序中启用TLS1.0和TLS1.1？在Xamarin/App中，如何保护文件夹中ASP.NET Restful服务器上的文件不被其他用户和公众访问在C# asp.net Core2.1中使用用户名和密码验证MQTT服务器上的MQTT客户端

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

iOS13 各版本固件下载地址以及更新方法

iOS13 developer beta ①Face id 解锁速度增加30% ②App打开速度快三倍 ③黑暗模式（dark mode） ④Applemusic支持实时歌词 ⑤地图重新设计（中国暂时不支持） ⑥提醒事项app重做 ⑦memoji贴纸（可用作emoji表情） ⑧相册改版 ⑨APP占用内存降低60% ①⓪Safari支持下载文件 ①①音量设计改变支持机型：SE.6s-XsMax（以及iPod touch7）本次更新仅支持线刷 iPadOS（单独列出为iPad系统） ❶支持下载自选字体 ❷新手势 ❸复制粘贴删除新手势 ❹Apple pencil时延降低至9ms ❺iPad键盘可缩小 ❻新型多任务（例如同时打开两个备忘录） ❼可外接内存新增硬件 Mac Pro（最高28核处理器） 6K视网膜显示器

01

iOS13 证件扫描 & 文字识别API

从CSDN下载Demo源码：https://download.csdn.net/download/u011018979/19262418

01

一、越狱环境搭建

通过爱思助手查看哪些系统支持越狱，最好选择可刷机可越狱版本，选择支持ARM64架构的设备（iPhone5s及以上），选择iOS9.0及以上版本，因为很多App不能在iOS9之前的版本运行，优先考虑“完美越狱”的设备，因为它们重启后不需要重新越狱。随着BootROM(checkm8)漏洞的公开，基于该漏洞的“永久越狱”工具checkra1n悄然发布，支持iPhone5~iPhoneX之间的任何设备。因为BootROM漏洞无法修复，所以该工具也能支持iOS12、iOS13以及未来所有版本设备的越狱。在官网可以下载越狱工具，喜欢高版本系统的读者可以考虑。

01

Swift：有了 SFSafeSymbols 库，没有 UI 我也不愁了

之前我介绍了深色模式适配和 UIColor 相关的分类，今天要介绍的继续和UI相关，是一个库，叫 SFSafeSymbols，大家跟着我一起来看看吧。

03

使用IdentityServer出现过SameSite Cookie这个问题吗？

首先，好消息：Google 将在 2020 年 2 月发布 Chrome 80时，包括 Google 实施的“渐进式更好的 Cookie”(Incrementally better Cookies)，这将使网络成为一个更安全的地方，并有助于确保用户获得更好的隐私（站长注：现在是2022年4月28号，Chrome已经发布了多个更新版本）。

03

选个“靶子”练练手：15个漏洞测试网站带你飞

俗话说进攻是最好的防御，而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能，你会成为最好的防守者——无论你是一名开发人员、安全管理者、审计师或者测试人员。请牢记：熟能生巧！ 1、Bricks Bricks是一个建立于PHP、使用MySQL数据库的web应用程序，其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目，不仅为教学提供了一个AppSec平台，同时也成为检测web应用程序扫描器的一种方法。有三种类型的程序块：登录页面、文件上

07

iOS 14 egret H5游戏卡顿问题分析和部分解决办法

现象总体而言，iOS 14 渲染性能变差，可以从以下几个测试看出。测试1：简单demo，使用egret引擎显示3000个图（都是同一个100*100 png 纹理），逐帧做旋转。（博客园视频播放

03

ios屏蔽ota更新描述文件(苹果软件更新怎么关闭)

iOS手机下载新系统文件后，老是提示更新升级，确实很烦人，且为了防止手机被不小心给升级了，可以按照以下方法让手机显示当前版本为最高版本，不会下载升级包进行安装升级。

05

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

Bypass ID For iOS 13.3

1.Mac(黑/白) or Linux2.iPhone 5s -X3.iOS 12.4 - 13.34.checkra1n 0.9.7

03

腾讯云语音识别iOS SDK引入介绍

腾讯云的众多产品都提供了iOS SDK供开发者使用，如何成功调用接口是很多开发者在初次使用腾讯云服务的时候都会面临的问题，以下，我们以调用腾讯云语音识别产品为例，从零开始学习如何开发开发一个一句话语音识别的APP。

03

如何让你的网站支持苹果系列的深色Dark模式

我也是直接换上了 iPad 的深色模式，mbp 使用正常的浅色模式，访问自己网站的时候发现一个问题，就是下面这个引用样式有些问题

04

实战CVE-2022-23131漏洞 | 身份认证绕过

Zabbix 是一个非常流行的开源监控平台，用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。它与 Pandora FMS 和 Nagios 等解决方案非常相似。由于其受欢迎程度、功能和在大多数公司网络中的特权地位，Zabbix 是威胁参与者的高调目标。

02

干货 | 深入浅出Apple响应式框架Combine

Combine.framework 是Apple在2019 WWDC 上基于Swift推出的函数响应框架（Functional Reactive Programming）,支持Apple全平台的操作系统（iOS13+，macOS 10.15+等）。函数式响应框架无论在哪个平台早已流行泛滥，开源的Rx更是实现了各种语言的响应式编程框架。Apple在这个时候推出响应式框架，无疑是对自己护城河的进一步巩固。事实上SwiftUI的数据驱动就是依赖Combine。

03

iOS13微信收款到账语音提醒开发总结

随着苹果爸爸在WWDC2019发布了新的iOS13，两年前的这篇微信iOS收款到账语音提醒开发总结方案已经不再适用，具体的原因是iOS13中（准确的说是使用XCode11编译）苹果不再允许PushKit应用在非voip电话的场景上。在iOS13中，苹果比以往更关注用户的隐私以及设备的电池续航问题，所以对PushKit的能力进行了收拢。如果需要使用PushKit的话则需要接入CallKit的接口，导致收到客户端收到Voip Push时会拉起一个接打电话的全屏界面，有在国区发布过应用的同学应该知道拉起这个界面是不被甲方允许的。这篇文章总结了在iOS13下的语音播报迁移方案以及一些需要注意的问题。目前微信的7.0.10版本已经带上了这部分的特性。

06

iOS逆向之必要软件安装

通常，在iOS设备越狱后，需要安装一些必要的插件来增强越狱设备的可操作性。过去iOS设备越狱后大家首先会在cydia上添加pp源（http://apt.25pp.com）。但因为pp助手已停止服务，所以这个源已经不可用，对于一些cydia官方源没有提供的插件，我们需要自己寻找源或者寻找插件安装包。

03

iPadOS生产力翻身，Mac Pro官方攒机 | 软、硬皆出彩的WWDC19

整场开幕演讲下来虽然有槽点，但也有惊喜，整体进步很大。除了重头戏 IOS13操作系统更新之外，还有全新的TV OS，提供了全新的多用户管理；Apple Watch有了独立的App Store和独立应用接口；针对iPad，IOS13被重新命名为iPad OS等。

04

xcode11新增SceneDelegate文件

好久之前跟新到Xcode11，跟新完成后打开以前老项目并未有什么太大变化，也就没有在意，今天新建一个项目，创建完成后，发现多了个SceneDelegate的.m和.h文件，这是什么鬼？它有什么用呢？

02

一款超好用的Http抓包工具：Fiddler

Fiddler 一款超好用的Http抓包工具，这对于Tester来说一点也不为过。同时对于一名Coder来说，也是一个很好的调试工具。

02

【移动端bug】iOS 下 Input 和 fixed 的问题

最近在项目中碰到了移动端 IOS 下的一些问题，就打算完整总结一下，以便后续碰到相关问题就不用浪费时间了

06

Hello, SwiftUI

.edgesIgnoringSafeArea(.top)

02

【兼容性】监听页面关闭发送请求

因为前端监控会在页面关闭的时候，发送一下日志，所以会涉及到监听页面关闭，之前我们只监听了一个beforeunload 来发送数据

05

回顾HTTPS在2017年发生的事件

又到了辞旧迎新的时候。回顾过去的2017年，在互联网行业中，也发生了众多的变化。其中今年“网络安全”的话题对比去年呈现大幅度的提升。如中国首部《网络安全法》的颁发、史上最大规模的勒索病毒Wannacry席卷全球，将网络安全推向了浪尖风口，令网络安全上升国家安全的高度。与此同时，网络传输协议在2017年也发生了重大的变化，HTTPS加密协议迎来了历史上的重要阶段。 📷 2、1月起Chrome将标记HTTP网站为“不安全” 2017年1月（Chrome56）开始，谷歌将更新HTTP连接的安全指示图标，正式将某些

07

IOS13的详细适配

屏幕快照 2019-10-21 上午11.01.50.png 原因: 在iOS13中modalPresentationStyle的默认改为UIModalPresentationAutomatic,而在之前默认是UIModalPresentationFullScreen。

01

iOS WKWebView设置cookie方法总结

这个问题首先你要明白，WKWebView有自己的进程，使用自己的存储空间来存储cookie和cache，WKWebView会忽视NSURLCache、NSHTTPCookieStorage、NSCredentialStorage这些默认的网络存储，其他的网络类如NSURLConnection是无法访问到的。同时WKWebView发起的资源请求也是不经过NSURLProtocol的，导致无法自定义请求。

03

微信小程序首次请求慢 Safari浏览器访问慢 pending 10秒可能是HTTPS证书的锅

问题的起因是IOS系统中使用微信小程序，请求服务器接口，首次请求需要等待3 ~ 10秒。导致小程序初次打开白屏。

02

MacOS Catalina终于来了！升级前先来看看有哪些亮点？

10月8日，苹果推送macOS Catalina正式版(macOS 10.15)，用户可以在Mac APP Store中进行升级。

03

iOS13 即将到来，iOS 推送 DeviceToken 适配方案详解

随着苹果iOS13系统即将发布，个推提前推出DeviceToken适配方案，以确保新版本的兼容与APP推送服务的正常使用。iOS13的一个重要变化是"[deviceToken description]" 会受不同运行环境及系统的影响而发生变化，如果未及时做好适配工作，会导致SDK绑定到错误的DeviceToken，从而影响APN推送。请各位开发者根据当前运行环境做出相应的更新与优化，以保障用户在iOS13系统上有更好的使用体验。

04

苹果将iOS用户数据发送给谷歌、腾讯？最新回应：安全功能可关闭

一直以来，苹果将自己定位为隐私捍卫者，但是最近外媒曝出，苹果公司正在将iOS用户数据发送给谷歌、腾讯，一下子将苹果推到了风口浪尖。

04

Apple 登录流程详解

2019 年苹果推出苹果登录（Sign in with Apple）方式，要求 2020 年 4 月之后运行在 iOS13 及以上系统的 APP 如果使用第三方或社交登录服务（如 Facebook、谷歌、 Twitter、Linkedln 或亚马逊等），必须向用户提供 “以苹果账号登录” 服务的选项。其中苹果的审核细则 4.8 也明确的规定了这一点。

03

zabbix最新漏洞，可绕过认证登陆！

Zabbix是一个非常流行的开源监控平台，用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。

07

swiftUI之加载网络图片

SwiftUI之List Group NavigationView ForEach

03

Google Chrome 91开始封禁10080端口基金从业资格考试报名系统受影响附临时解决方案

今日是个好日子，端午节。在这个插艾草、盼安康的日子里，本周六的基金从业考试开始打印准考证了。

03

JavaScript详细判断浏览器运行环境

看到标题，大家就能想起这个需求在很多项目上都能用到。我们部署在Web服务器上的前端应用，既可以用PC浏览器访问，也可以用手机浏览器访问，再加上现在智能设备的推广，我们甚至能在车载系统、穿戴设备和电视平台上访问。

05

iOS13 Scene Delegate

iOS13以后，SceneDelegate将负责AppDelegate的某些功能。 window（窗口）的概念被window（场景）的概念所代替，一个scene现在可以作为您应用程序的用户界面和内容的载体。iOS13以前一个应用程序可以有不止一个window，同样现在一个应用程序也可以有不止一个scene。

02

iOS14.5.1适配：使用AppTrackingTransparency以请求用户授权获取IDFA信息【修订版】

在 iOS13 及以前，系统会默认为用户开启允许追踪设置，我们可以简单的通过代码来获取到用户的 IDFA 标识符。

01

为了避免内存攻击，美国国家安全局提倡Rust、C#、Go、Java、Ruby 和 Swift，但将 C 和 C++ 置于一边

本文翻译自两篇文章，第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读，第二篇是普及什么是内存安全，为什么它很重要？

01

为了避免内存攻击，美国国家安全局提倡Rust、C#、Go、Java、Ruby 和 Swift，但将 C 和 C++ 置于一边

本文翻译自两篇文章，第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读，第二篇是普及什么是内存安全，为什么它很重要？

03

HTTP接口抓包工具之Fiddler

Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据，Fiddler包含了一个强大的基于时间脚本的子系统，并且能使用.NET语言进行扩展。对HTTP协议越了解，就能越掌握Fiddler的使用方法。越使用Fiddler，就越能帮助了解HTTP协议。Fiddler无论对开发人员或者测试人员来说，都是非常有用的工具。

02

iOS App Extension ：【App Extension类型、生命周期、通信、App Extension案例】

扩展 (Extension) 是 iOS 8 和 OSX 10.10 加入的一个非常大的功能点，开发者可以通过系统提供给我们的扩展接入点 (Extension point) 来为系统特定的服务提供某些附加的功能。

01

Apple iOS 9.3 S/Plus – 触摸密码绕过漏洞

介绍 iOS是苹果公司开发的手机操作系统，发布于2007年，使用在iPhone 和 iPod Touch上，并且已经开始延伸至其他苹果设备如iPad和Apple TV。与微软的Windows Pho

05

android组件安全检测工具(内存检测工具memtest)

Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下. Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等. AppUse – AppSec Labs开发的Android的虚拟环境. Mobisec – 移动安全的测试环境, 同样支持实时监控 Santoku – 基于Linux的小型操作系统, 提供一套完整的移动设备司法取证环境, 集成大量Adroind的调试工具, 移动设备取证工具, 渗透测试工具和网络分析工具等.

02

Apple 低延迟HLS分析

HTTP Live Streaming（HLS）是Apple公司主导提出并实现的基于HTTP的自适应码率流媒体通信协议（RFC8216），作为其产品QuickTime，Safari，OS X和iOS的一部分，在Apple的产品生态链中占有重要地位。同时，越来越多的第三方厂商的产品，如Microsoft Edge，Firefox和 Google Chrome、安卓操作系统也都实现了对HLS的支持。而且有大量的流媒体服务器都支持HLS。

06

iPadOS上启动黑屏翻车问题分析（一）

iOS的每次大版本更新都会是iOSer的苦难之旅，这次的iPadOS估计肯定也不例外当然了这次估计是针对iPadOS的苦难而已吧。在iOS13以下的iOS中iPhone和iPad用的是同一套OS而到了iOS13之后iPad单独摘出来另起炉灶称为iPadOS好了我们先上个坑---升级iPadOS之后App黑屏问题

00

iOS10-iOS15主要适配回顾

-1、 iOS 13 推出暗黑模式，UIKit 提供新的系统颜色和 api 来适配不同颜色模式，xcassets 对素材适配也做了调整

05

iOS安全之防止手机截屏/录屏导致泄密的方案： iOS11之后防止用户录屏方案、基于DRM防截屏/录屏

1、监听截屏后通知(UIApplicationUserDidTakeScreenshotNotification)，并进行提示《您保存的图片内容可能涉及到敏感信息，建议您删除》

05

IOS 越狱插件介绍与一点经验

总体来说，如果你的系统是13.5的话(尚未升级到13.5.1)，实际上整个流程比Android的Root还要简单。因为Iphone是我的主力机，为了避免不必要的麻烦，一直没有做越狱操作。

00

最新 iOS 框架整体梳理（三）

这一篇得把介绍框架这个系列终结了，不能超过三篇了，不然太长了..... 还是老规矩，前面两篇的机票在下方：

01

iOS14适配之【使用AppTrackingTransparency以请求用户授权获取IDFA信息】

iOS14 To use the AppTrackingTransparency framework

07

Embedding VR view (Google VR)

VR view allows you to embed 360 degree VR media into websites on desktop and mobile, and native apps on Android and iOS. This technology is designed to enable developers of traditional apps to enhance the apps with immersive content. For example, VR view makes it easy for a travel app to provide viewers with an underwater scuba diving tour as they plan a vacation or for a home builder to take prospective buyers on a virtual walkthrough before the home is built.

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭