国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Web安全防范(XSS、CSRF)

cartoon / 427人閱讀

摘要:因為瀏覽器的同源策略,所以不能獲取到其他網站的,但通過把代碼注入到目標頁面中,就能繞過同源策略,比如在的中注入代碼,等到數據提交到服務器端,會保存下來,下次展示頁面的時候,就會執行這段代碼。

注:以下文章是我從公眾號“碼農翻身”中的《黑客三兄弟》抽取總結出來的,這個公眾號采用說故事的方式講解技術,清晰通俗易懂,能學到很多知識。
XSS(Cross Site Scripting)

利用別人的cookie,可以冒充真實的用戶,在頒發cookie的那個網站中為所欲為。
因為瀏覽器的同源策略,所以不能獲取到其他網站的cookie,但通過把JavaScript代碼注入到目標頁面中,就能繞過同源策略,比如在HTML的中注入JavaScript代碼,等到數據提交到服務器端,會保存下來,下次展示頁面的時候,就會執行這段代碼。
舉例有這樣一個網站,可以讓你對某個文章輸入評論:

等到再次有人訪問這個頁面的時候,就可以把那個人的cookie顯示出來了!
當然不能直接把用戶的cookie直接alert出來,而同源策略嚴格限制了JavaScript的跨域訪問,但同源策略并不限制

總之,只要用戶在訪問icbc.com.cn的時候,訪問了web.com,就極有可能中招,這種方式,只是利用了一下合法的Cookie,在服務器看來,發出的這個請求是一次合法的請求。這個就叫跨站請求偽造,Cross Site Request Forgest (CSRF)。

防范措施:

1.用戶在icbc.com.cn轉賬,顯示轉賬的form,除了常用的字段之外,額外添加一個token:

這個token是icbc.com服務器端生成的,是一個隨機的數字。

2.用戶的轉賬數據發送的服務器端,icbc.com就會檢查從瀏覽器發過來的數據中有沒有token,并且這個token的值是不是和服務器端保存的相等,如果相等,就繼續執行轉賬操作,如果不相等,那這次POST請求肯定是偽造的。

這個token是服務器端生成的,無法偽造,CSRF的手段也不行了。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/92856.html

相關文章

  • web安全初探

    摘要:安全初探攻擊攻擊全稱跨站腳本攻擊,是為不和層疊樣式表的縮寫混淆,故將跨站腳本攻擊縮寫為,是一種在應用中的計算機安全漏洞,它允許惡意用戶將代碼植入到提供給其它用戶使用的頁面中。 web安全初探 XSS攻擊 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算機安全...

    Y3G 評論0 收藏0
  • web安全初探

    摘要:安全初探攻擊攻擊全稱跨站腳本攻擊,是為不和層疊樣式表的縮寫混淆,故將跨站腳本攻擊縮寫為,是一種在應用中的計算機安全漏洞,它允許惡意用戶將代碼植入到提供給其它用戶使用的頁面中。 web安全初探 XSS攻擊 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算機安全...

    xuhong 評論0 收藏0
  • 關于Web安全的理解

    摘要:最近在學習安全相關的一些知識,目前對安全也只有了一些淺顯的理解,下面記錄我的一些理解。防御攻擊的方法主要是修改數據的接口,盡量使用請求使用同源策略推薦的文章安全之攻擊其實還講了其他的幾種方法,但是都沒接觸過,不太理解,所以沒有寫下來。 最近在學習web安全相關的一些知識,目前對web安全也只有了一些淺顯的理解,下面記錄我的一些理解。因為對這一塊懂的東西不是很多,有些地方可能寫的不對或者...

    2501207950 評論0 收藏0
  • web安全基礎

    摘要:安全基礎常見的安全攻擊手段有很多,比如注入,,,頭攻擊,攻擊,重定向攻擊,上傳文件攻擊等,其中大多數都可以通過三種方法過濾代理轉義實體化來解決。個人趨向于安全狗,同時安裝服務器安全狗和網站安全狗可以有效地防護攻擊。 web安全基礎 常見的web安全攻擊手段有很多,比如SQL注入,XSS,CSRF,HTTP頭攻擊,cookie攻擊,重定向攻擊,上傳文件攻擊等,其中大多數都可以通過三種方法...

    starsfun 評論0 收藏0
  • 淺談前端安全

    摘要:安全問題的分類按照所發生的區域分類后端安全問題所有發生在后端服務器應用服務當中的安全問題前端安全問題所有發生在瀏覽器單頁面應用頁面當中的安全問題按照團隊中哪個角色最適合來修復安全問題分類后端安全問題針對這個安全問題,后端最適合來修復前端安全 安全問題的分類 按照所發生的區域分類 后端安全問題:所有發生在后端服務器、應用、服務當中的安全問題 前端安全問題:所有發生在瀏覽器、單頁面應用、...

    Cympros 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<