关于web安全--CSRF和XSS
2024-09-26 22:15:29
CSRF:跨站请求伪造。
攻击原理:一个用户登陆了可信的网站A,身份验证后A会下发一个cookie;此时用户又打开了另一个危险网站B,B引诱用户点击连接(该链接会访问A的接口),由于此时会携带cookie,网站A认为这个请求是合法的,就执行了该请求。
防范措施:
1.接口增加token
2.refer验证,验证HTTP请求的来源地址
参考资料 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/
XSS:跨域脚本攻击
攻击原理:向页面注入脚本,在脚本中执行攻击
防范措施:
1.编码:对用户输入的数据进行HTML Entity编码
2.过滤:对用户输入中可能存在危险的元素进行过滤,如style、script iframe
最新文章
- iOS 杂笔-如何解决tableview显示错乱问题
- 推荐两款简单好用的图片放大jquery插件
- php小trick
- Struts2 源码分析——过滤器(Filter)
- loadrunner取出关联数组中的所有元素
- JAVA的JDBC连接与sql操作
- 今天来做一个PHP电影小爬虫。
- linux下usb驱动接口中端点介绍
- hdoj 1556 Color the ball【线段树区间更新】
- 自定义表单-jsonform
- SAP RFC函数远程调试跟踪管理软件
- nginx r日志中午出现\xE5\x88\x98\xE4\xB8\x96\xE5\xA5\x87
- 四则运算coding
- Spark安装部署(local和standalone模式)
- Python安装第三方库,报错超时: Read timed out.
- BZOJ [FJOI2007]轮状病毒 (找规律)
- 网络之Json生成解析
- Caused by: java.lang.IllegalArgumentException: Modifying queries can only use void or int/Integer as return type!
- Scrum Meeting 10.29
- Entity Framework(EF的Model First方法)
热门文章
- express使用post方法
- atom 插件 python语法验证linter-flake8-------填坑
- 3分钟简单了解 prototype 和 __proto__
- Java获取上周,本周,本月,本年,开始结束时间 。日期工具类
- Vue中如何将数据传递到下一个页面(超级简单哒)
- python进阶06 常用问题库(2)datetime模块 base64
- [Java]HashSet的工作原理
- openstack安装newton版本dashboard+cinder(六)
- oracle 列转行
- springboot 学习笔记(三)