CSRF:跨站请求伪造。

攻击原理:一个用户登陆了可信的网站A,身份验证后A会下发一个cookie;此时用户又打开了另一个危险网站B,B引诱用户点击连接(该链接会访问A的接口),由于此时会携带cookie,网站A认为这个请求是合法的,就执行了该请求。

防范措施:

1.接口增加token

2.refer验证,验证HTTP请求的来源地址

参考资料 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/

XSS:跨域脚本攻击

攻击原理:向页面注入脚本,在脚本中执行攻击

防范措施:

1.编码:对用户输入的数据进行HTML Entity编码

2.过滤:对用户输入中可能存在危险的元素进行过滤,如style、script iframe

最新文章

  1. iOS 杂笔-如何解决tableview显示错乱问题
  2. 推荐两款简单好用的图片放大jquery插件
  3. php小trick
  4. Struts2 源码分析——过滤器(Filter)
  5. loadrunner取出关联数组中的所有元素
  6. JAVA的JDBC连接与sql操作
  7. 今天来做一个PHP电影小爬虫。
  8. linux下usb驱动接口中端点介绍
  9. hdoj 1556 Color the ball【线段树区间更新】
  10. 自定义表单-jsonform
  11. SAP RFC函数远程调试跟踪管理软件
  12. nginx r日志中午出现\xE5\x88\x98\xE4\xB8\x96\xE5\xA5\x87
  13. 四则运算coding
  14. Spark安装部署(local和standalone模式)
  15. Python安装第三方库,报错超时: Read timed out.
  16. BZOJ [FJOI2007]轮状病毒 (找规律)
  17. 网络之Json生成解析
  18. Caused by: java.lang.IllegalArgumentException: Modifying queries can only use void or int/Integer as return type!
  19. Scrum Meeting 10.29
  20. Entity Framework(EF的Model First方法)

热门文章

  1. express使用post方法
  2. atom 插件 python语法验证linter-flake8-------填坑
  3. 3分钟简单了解 prototype 和 __proto__
  4. Java获取上周,本周,本月,本年,开始结束时间 。日期工具类
  5. Vue中如何将数据传递到下一个页面(超级简单哒)
  6. python进阶06 常用问题库(2)datetime模块 base64
  7. [Java]HashSet的工作原理
  8. openstack安装newton版本dashboard+cinder(六)
  9. oracle 列转行
  10. springboot 学习笔记(三)