开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

grails - spring-security-core安全通道导致重定向循环(在Heroku上)

Grails是一种基于Groovy语言的开源Web应用框架，它建立在Spring框架之上，提供了简单、高效的开发方式。而spring-security-core是Grails中用于处理安全认证和授权的插件。

在Heroku上使用Grails和spring-security-core时，可能会遇到重定向循环的问题。这种问题通常是由于安全通道配置不正确导致的。

解决这个问题的方法是检查安全通道的配置，确保正确地配置了登录和注销的URL。可以通过以下步骤来解决：

确保在Grails的配置文件（如Config.groovy）中正确配置了spring-security-core插件。可以参考官方文档（https://grails-plugins.github.io/grails-spring-security-core/latest/index.html）了解如何正确配置。
检查登录和注销的URL是否正确配置。登录URL应该指向一个可以处理用户认证的控制器动作，注销URL应该指向一个可以处理用户注销的控制器动作。
确保在安全通道配置中正确设置了登录成功后的重定向URL。可以使用successHandler.defaultTargetUrl属性来设置登录成功后的默认重定向URL。
检查是否存在无限重定向循环的情况。可能是由于配置错误导致了循环重定向。可以通过在浏览器中查看网络请求和响应来识别重定向循环。

总结起来，解决Grails和spring-security-core安全通道导致重定向循环的问题需要确保正确配置安全通道、登录和注销URL，并避免配置错误导致的重定向循环。

相关搜索:Heroku上的SSL重定向配置在访问根域时导致错误403 (禁止)在IIS6上实现ERR_TOO_MANY_REDIRECTS重写模块导致无限重定向循环在RVM(OSX)上更新Heroku gem导致了LoadError和"破坏"的heroku gem.什么是最安全的修复方法？删除最后一个数组元素并返回数组，同时也分别返回删除的元素为什么页面上不显示块？将字符串转换为数字 Python透视表列中的多个小计为Couchbase lite 2.x和同步网关设置replicator时出现问题如何在PHP中删除JSON元素？是否可以通过查询区分相同路径上的路由？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在 10 分钟内实现安全的 React + Docker

在带有安全标头的根目录中创建一个 static.json 文件，并把所有 HTTP 请求重定向到 HTTPS。...使用以下方法在浏览器中打开你的应用程序： heroku open 你将会被重定向到 Okta，可能会看到以下错误： The 'redirect_uri' parameter must be an absolute...现在，你应该可以登录并看到你的应用在 Heroku 上运行了！你可以在 https://securityheaders.com 上验证其安全标头是否正确。 ?...改善 Docker 中 Nginx 的安全标头如果在 securityheaders.com 上的 Docker 站点中测试新的 Nginx，你的得分应该是 F。...然后用以下命令通过 Node.js 和静态 buildpack（也就是你在 Heroku 上使用的相同 buildpack）构建 Docker 镜像。

19.8K3 0

《Spring Boot极简教程》第8章 Spring Boot集成Groovy，Grails开发第8章 Spring Boot集成Groovy，Grails开发小结参考资料

Groovy和Grails简介 Groovy简介 Groovy 是一种动态语言，它在 JVM 上运行，并且与 Java 语言无缝集成。 Groovy 可以大大减少 Java 代码的数量。...不再需要编写 for Iterator i = list.iterator() 来循环遍历一系列的项；list.each 可以做相同的事情，而且看上去更简洁，表达更清晰。...我们可以看到，grails依赖的Groovy，JVM环境版本。创建Grails项目让我们来体验JVM上的Ruby on rails式的命令行自动工程生成的快感吧！...螢幕快照 2017-04-15 02.10.49.png 为了演示上的简易性，数据库我们直接用的是H2,在application.yml配置如下： hibernate: cache:...有些动作进行重定向。

2.4K3 0

8.2 Spring Boot集成Groovy、Grails开发小结参考资料

Groovy和Grails简介 Groovy简介 Groovy 是一种动态语言，它在 JVM 上运行，并且与 Java 语言无缝集成。 Groovy 可以大大减少 Java 代码的数量。...不再需要编写 for Iterator i = list.iterator() 来循环遍历一系列的项；list.each 可以做相同的事情，而且看上去更简洁，表达更清晰。...我们可以看到，grails依赖的Groovy，JVM环境版本。创建Grails项目让我们来体验JVM上的Ruby on rails式的命令行自动工程生成的快感吧！...螢幕快照 2017-04-15 02.10.49.png 为了演示上的简易性，数据库我们直接用的是H2,在application.yml配置如下： hibernate: cache:...有些动作进行重定向。

2.3K3 0

HTTP API 设计指南HTTP API 设计指南

强制使用安全连接（Secure Connections）所有的访问API行为，都需要用 TLS 通过安全连接来访问。...依赖于重定向的客户端访问不仅会导致双倍的服务器负载，还会使 TLS 加密失去意义，因为在首次非 TLS 调用时，敏感信息就已经暴露出去了。...通过在客户端、服务器或任何支持服务上记录该值，它能为我们提供一种机制来跟踪、诊断和调试请求。...例如，一个用户想取得他在Heroku平台app信息，但是这个app的唯一标识是UUID。...不要使用那种在服务器上或是资源中不是全局唯一的标识，尤其是自动增长的id。

2.3K3 1

关于“Python”的核心知识点整理大全64

20.2.15 确保项目的安全当前，我们部署的项目存在一个严重的安全问题：settings.py包含设置DEBUG=True，它在发生错误时显示调试信息。...我们还需确保任何人都无法看到这些信息，也不能冒充项目托管网站来重定向请求。...在1处，修改ALLOWED_HOSTS，只允许Heroku托管这个项目。...为此，可对settings.py做如下修改（请确保你修改的是用于本地环境的settings.py部分，而不是用于Heroku的部分）： settings.py --snip-- # 安全警告...使用方法get_object_or_404() 现在，如果用户手工请求不存在的主题或条目，将导致500错误。Django尝试渲染请求的页面，但没有足够的信息来完成这项任务，进而引发500错误。

861 0

Web Hacking 101 中文版十三、子域劫持

总之，这一类型的漏洞涉及站点为子域创建 DNS 记录，例如，Heroku（主机商），并且从未申请过该子域。 example.com在Heroku 上注册。...为了理解这个漏洞，我们需要看一看 OAuth，根据他们的站点，它是一个开放协议，能够以简单和标准的方式来验证 Web 移动和桌面应用的安全性。...这个 APP 将用户重定向到 Facebook API 来授予权限。 Facebook API 向用户提供代码并将其重定向到 APP。...这也是个概览，这里也可能出现很多其他事情，包括可以在流程中交换的额外信息。这里有一个重大漏洞，Facebook 在 #5 中向应用提供访问 Token。...APP 的列表课在https://www.facebook.com/search/me/apps-used上获取。

1.2K4 0

Java近期新闻：Grails 6.0、PrimeFaces 13.0、JUnit 5.10、GraalVM、新的 JEP 草案

这为final字段提供了性能和安全优势，同时在初始化时间方面提供了更大的灵活性。该特性将作为预览版 API 首次亮相。...对计数循环的剥离挖掘优化功能也进行了更新，其中挖掘溢出循环在 Graal 编译器中被定义为“不剥离”。这些新版本分别构建在 JDK 版本的 20.0.2+9 和 17.0.8+7 上。...，这是一个漏洞，在 Spring WebFlux 的 Spring Security 配置中使用双通配符（**）作为模式会导致模式匹配出现不匹配，从而可能导致安全绕过；和 CVE-2023-34035，...Grails Grails 基金会发布了 Grails 的 6.0 版本，它提供了：最小的 JDK 11 版本；对 Spring Framework 5.3.28、Spring Boot 2.7.12...TornadoVM 开源软件技术公司 TornadoVM 发布了 0.15.2 版本的虚拟机，该版本提供了缺陷修复和显著的改进，例如：对在多个设备上执行多个独立任务的最初支持，可以在多个硬件加速器上执行多任务

1783 0

关于“Python”的核心知识点整理大全65

在Heroku网站（https://heroku.com/）登录后，你将被重定向到一个页面，其中列出了你托管的所有项目。单击要删除的项目，你将看到另一个页面，其中显示了有关这个项目的信息。...注意删除Heroku上的项目对本地项目没有任何影响。如果没有人使用你部署的项目，就尽管去练习部署过程好了，在Heroku删除项目再重新部署完全合情合理。...你使用Git将能够正确运行的项目提交到一个仓库，再将这个仓库推送到Heroku的服务器。最后，你将DEBUG设置为False，以确保在线服务器上应用程序的安全。...如果你在安装Python时选择了复选框Add Python to PATH，可跳过这一步。打开控制面板并单击“系统和安全”，再单击“系统”。...如果你在输出中看到了具体的版本号，说明你的系统安装了Git；如果你看到一条消息，提示你安装或升级Git，只需按屏幕上的说明做即可。

1051 0

实战填坑 | 隐藏C2域名地址技巧

声明：本文仅做技术分享，图片结果均为网络分享图片，请各位看后遵守《网络安全法》，在授权前提下进行渗透测试，学习本文技巧所有产生后果与笔者无关。...虽然说认证后除非犯了大事才找你，但法网恢恢疏而不漏…… 本文思路不依赖对CDN服务商解析的重定向，而是基于正常域名分发子域名的伪装：注册匿名账户，使用该机构提供的代理服务将流量代理到你的真实域名，匿名，...然后在回源管理处添加你在国内的vps地址： ? 其中要选择https或http协议要点击协议跟随的选项，才能动态解析两者。...这个思路相比于直接cloudflare代理根域名有一个缺点：js中设置new_request_headers.set("X-Forwarded-For", ipAddress)没什么用处，依然需要在国内这个vps上使用...在vps中可使用heroku login确认你的账号： ?

5.7K1 0

放弃“免费套餐”，Heroku的遗产又少了一个

实际上，这个革命性的产品，从技术上讲已经停滞不前，其产品也名存实亡，一位 Heroku 前员工在 HN 上写道：“你必须追溯到 Heroku Changelog 才能找到任何不是语言版本升级或特性删除的内容...今年 4 月，Heroku 还曾发生一起严重的安全事故，社区反应激烈，当时一名攻击者获取了 Heroku 的主数据库（在我们那个时代称为 core-db）的访问权，并泄露了它的内容，包括哈希密码和用于...同时这也奠定了 Heroku 在 PaaS 领域的地位，成为了云上应用开发规范化的基石。...Heroku 使这一问题得到了极大的简化，它使开发者集中精力在构建软件上，而非在配置和运行基础设施上。在当今世界，这显然是一种有利条件，但在那时并非如此。...这导致了很酷炫的内部演示，但是可以预料的是，他们不会有所动作。总而言之，特别是考虑到之前发生的安全问题，Heroku 作为一个自维持的产品是一个失败。

4.3K4 0

Java近期新闻：Spring Framework 6.1、Spring Data 2023.1、Payara Platform

，这是一个 URL 重定向到不受信任站点的漏洞。...解决了 IBM WebSphere Application Server Liberty 23.0.0.9 到 23.0.0.10 中的 CVE-2023-46158 漏洞（由于不正确地处理资源过期而导致安全性降低...Grails Grails 基金会发布了 Grails Framework 6.1.0，包含问题修复、文档改进、依赖项升级和这些重要变更：将 SnakeYAML 升级到 2.2，解决 CVE-2022...，导致不稳定；由于 Windows 操作系统上的持续集成问题，避免在 RestClientCDIDelegateBuilderTest 类中使用 JUnit @TempDir 注解。...在使用 Java 22 或更高版本的 JDK 时，可以通过在 Server 元素上添加 OpenSSLLifecycleListener 类来启用 OpenSSL 支持。

2061 0

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。...注意事项: Web浏览器隐式地信任放在DNS解析器返回的任何内容上。这种信任意味着当攻击者获得对DNS记录的控制时，绕过所有Web浏览器安全策略（例如，同源策略）。.../) 2.在Heroku上部署应用程序。...Heroku - Heroku是一个平台即服务提供商，可以使用简单的工作流程部署应用程序。由于需要访问应用程序，Heroku使用herokuapp.com上形成的子域公开应用程序。...Shopify - Shopify提供了一种在云中创建和自定义电子商务商店的方法。访问商店的默认子域是在myshopify.com上构建的。作为之前描述的服务，Shopify允许指定备用域名。

6.2K1 0

Subdomain-Takeover子域名接管原理和利用案例

注意：本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。...注意事项: Web浏览器隐式地信任放在DNS解析器返回的任何内容上。这种信任意味着当攻击者获得对DNS记录的控制时，绕过所有Web浏览器安全策略（例如，同源策略）。.../) 2.在Heroku上部署应用程序。...Heroku - Heroku是一个平台即服务提供商，可以使用简单的工作流程部署应用程序。由于需要访问应用程序，Heroku使用herokuapp.com上形成的子域公开应用程序。...Shopify - Shopify提供了一种在云中创建和自定义电子商务商店的方法。访问商店的默认子域是在myshopify.com上构建的。作为之前描述的服务，Shopify允许指定备用域名。

3.6K2 0

Subdomain Takeover 子域名接管漏洞

这种信任意味着，当攻击者获得对DNS记录的控制权时，将绕过所有Web浏览器安全性度量（例如，同源策略）。由于子域接管破坏了域的真实性，攻击者可以通过几种方式利用该域的真实性，这带来了相当大的安全威胁。...在云服务的上下文中，第一个请求是针对组织的域名（例如shop.organization.com），然后重定向到云提供商的域名（例如，organization.ecommerceprovider.com）...根据地理位置，对cloudfront.net的任何子域的DNS查询将导致相同的A记录（在相同区域中）。这表明CloudFront正在后端使用虚拟主机设置。...Heroku — Heroku是一个平台即服务的提供程序，可以使用简单的工作流来部署应用程序。由于需要访问该应用程序，因此Heroku使用在herokuapp.com上形成的子域公开该应用程序。...Shopify-Shopify提供了一种在云中创建和自定义电子商务商店的方法。访问商店的默认子域建立在myshopify.com上。如前所述，Shopify允许指定备用域名。

3.7K2 0

数据科学家必备的21个命令行工具

这是 PuTTY 标准安全的特性，请放心继续输入。 5. 现在我们可以开始输入命令提示符了。 SSH 的重要特征就是能创建安全通道。在 Ubuntu 中 1....网络到世界的通道： ssh -f -N -R 22:192.168.0.1:22 username@1.1.1.1 在主机 1.1.1.1 上输入：访问主机 192.168.0.1 $ ssh localhost...当我们访问本地机器的端口时，特定主机的主机端口将会在通道端口上创建。从世界到网络的通道（反向通道）在我们需要访问机器，但机器又被防火墙保护时需要。操作的原则即连接最开始是由远程机器发起。...在文件系统上工作现在让我们学一学如何在文件系统上处理数据。下面是所需要了解的命令行列表。 1....在利用 SSH 协议的安全通道之后，这些工具变得越发重要，我们也希望各位读者能高效地利用它们处理数据。 END 投稿和反馈请发邮件至holly0801@163.com。

5512 0

资源 | 数据科学家必备的21个命令行工具

这是 PuTTY 标准安全的特性，请放心继续输入。 5. 现在我们可以开始输入命令提示符了。 SSH 的重要特征就是能创建安全通道。在 Ubuntu 中 1....网络到世界的通道： ssh -f -N -R 22:192.168.0.1:22 username@1.1.1.1 在主机 1.1.1.1 上输入：访问主机 192.168.0.1 $ ssh localhost...当我们访问本地机器的端口时，特定主机的主机端口将会在通道端口上创建。从世界到网络的通道（反向通道）在我们需要访问机器，但机器又被防火墙保护时需要。操作的原则即连接最开始是由远程机器发起。...在文件系统上工作现在让我们学一学如何在文件系统上处理数据。下面是所需要了解的命令行列表。 1....在利用 SSH 协议的安全通道之后，这些工具变得越发重要，我们也希望各位读者能高效地利用它们处理数据。

8818 0

世界5大顶级PC厂商为什么会屡曝安全问题？

，在受害者设备上植入恶意代码。...OEM厂商所遇到的安全问题大同小异，比如不能通过安全的HTTPS通道提供更新京城，或者不能对需要更新的文件进行标记。...后者的危害程度更高一些，恶意文件安装在受害者设备上可能会导致一些很严重的后果，比如获取用户的全部控制权限。...五大厂商安全问题明细安全研究员在这5大厂商中发现了12个漏洞，并且每个厂商的updater中至少含有一个高危漏洞。事实上，厂商在设备上安装的updater可能不止一个，也就是说安全风险会更高。...苹果的安全更新问题苹果的升级相对来说更安全一些，这可能要归咎于苹果公司对安全的高度重视，它不允许用户在苹果设备上安装第三方软件，所有的软件必须经过苹果官方途径下载，避免通过不安全的第三方软件感染苹果设备

6827 0

跟我一起探索 HTTP- 重定向

假如开发人员修改了 HTTP 重定向，而忘记修改 HTML 页面的重定向，那么二者就会不一致，最终结果或者出现无限循环，或者导致其他噩梦的发生。...对于不安全请求的临时响应不安全的请求会修改服务器端的状态，应该避免用户无意的重复发送它们。通常，你并不想要你的用户重复发送 PUT、POST 或 DELETE 请求。...如果刷新按钮被点击的话，只会导致该页面被刷新，而不会重复提交不安全的请求。对于耗时请求的临时响应一些请求的处理会需要比较长的时间，比如有时候DELETE 请求会被安排为稍后处理。...重定向死锁（循环）当后续的重定向路径重复之前的路径的时候，重定向循环就产生了。换句话说，就是陷入了无限循环当中，不会有一个最终的页面返回。大多数情况下，这属于服务器端错误。...假如你在修改了服务器配置不久就出现了这个问题，八成是遇到了重定向循环。有时候，服务器端无法对其进行检测：重定向循环发生于多台服务器之间，对于每一台服务器来说，都无法获得一个全景图。

4315 0

第七十期：Node中的IO操作（标准IO）

Node中的I/O操作 (标准I/O) 从某种意义上讲，Node其实是在C++的基础上又包了一层。和其他语言一样，Node和操作系统的交互也是通过I/O。...标准I/O是如何实现的 Node标准I/O通道，其实是是用了Node的streams流实现的。...需要注意的是，isTTY是defined，并且不是false，因为这可能会导致错误。因为标准I/O通道是根据场景从不同的构造函数内部初始化的。...然而，当I/O被重定向时，通道是从网络模块的套接字构造函数创建的，它没有isTTY属性。文件处理 fs 文件处理能力是服务端编程的一个基本能力，Node通过fs模块提供了这种能力。...这一切都发生在事件循环的多个tick中，从而为计时器队列的处理留出了空间。

6341 0

ButterCMS架构：完成数百万次调用的关键任务API

Django应用在配备一个Postgres数据库的Heroku上运行。...这是我们在早期学到的严重一课。不可靠的服务器托管导致频繁的间歇性中断和性能下降，这会使客户很失望。...在第一个事件中，由于DNS服务商把我们账户意外“删除”，而导致一个中断事件，该事件经过了近6个小时才完全恢复。...对于应用服务器，则使用Heroku的监视和自动扩展工具，来确保流量性能不会从峰值上降低（如果 Fastly停机了，需要将所有的请求都直接路由到服务器）。...通过在谷歌云上运行一个服务器和数据库实例作为快速失效备援，来防止极小可能出现的Heroku或者AWS（Heroku运行其上）中断。

1.6K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭