国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

HTML表單提交的安全問題

lk20150415 / 2174人閱讀

摘要:到目前為止,表單是最常見的攻擊媒介可能發生攻擊的地方。這些攻擊的影響可能從一個小麻煩到一個重大的安全風險。為了防止這些攻擊,您應該始終檢查用戶發送給服務器的數據如果需要顯示,盡量不要顯示用戶提供的內容。

元素定義了如何發送數據。它的所有屬性都是為了讓您配置當用戶點擊提交按鈕時發送的請求。兩個最重要的屬性是action和method。

action屬性

這個屬性定義了發送數據要去的位置。它的值必須是一個有效的URL。如果沒有提供此屬性,則數據將 被發送到包含表單的頁面的URL

method屬性

該屬性定義了如何發送數據。HTTP協議提供了幾種執行請求的方法;HTML表單數據可以通過許多不同的數據傳輸,其中最常見的是GET方法和POST方法。

每次向服務器發送數據時,都需要考慮安全性。到目前為止,HTML表單是最常見的攻擊媒介(可能發生攻擊的地方)。這些問題從來都不是來自HTML表單本身,它們來自于服務器如何處理數據。

XSS CSRF

跨站腳本(XSS)和跨站點請求偽造(CSRF)是常見的攻擊類型,它們發生在當您將用戶發送的數據顯示給用戶或另一個
XSS允許攻擊者將客戶端腳本注入到其他用戶查看的Web頁面中。攻擊者可以使用跨站點腳本攻擊的漏洞來繞過諸如同源策略之類的訪問控制。這些攻擊的影響可能從一個小麻煩到一個重大的安全風險。

CSRF攻擊類似于XSS攻擊,因為它們以相同的方式攻擊——向Web頁面中注入客戶端腳本——但它們的目標是不同的。CSRF攻擊者試圖將特權升級到特權用戶(比如站點管理員)的權限,以執行他們不應該執行的操作(例如,將數據發送給一個不受信任的用戶)。

XSS攻擊利用用戶對web站點的信任,而CSRF攻擊則利用網站為其用戶提供的信任。

為了防止這些攻擊,您應該始終檢查用戶發送給服務器的數據(如果需要顯示),盡量不要顯示用戶提供的HTML內容。相反,您應該處理用戶提供的數據,這樣您就不會逐字地顯示它。當今市場上幾乎所有的框架都實現了一個最小的過濾器,它可以從任何用戶發送的數據中刪除HTML

閱讀需要支付1元查看
<