下面转的两篇文章分别说明了以下两个概念和一些解决方法:1. CSRF - Cross-Site Request Forgery - 跨站请求伪造2. CORS - Cross Origin Resourse-Sharing - 跨站资源共享(1. CSRF)转自:http://www.h3c.com...
分类:
其他好文 时间:
2015-05-25 18:13:48
阅读次数:
211
这个月我们新开发了一个项目,由于使用到了4台机器做web,使用dns做负载均衡,上面图上用户通过DNS的调度(一个域名对应多个ip)分别访问到VM2-VM5上,四台机器都访问VM1上的redis,两个redis值主从结构.因此需要使用跨服务器的session保存用户登录状态,于是我写了一个跨站的s....
分类:
其他好文 时间:
2015-05-24 11:33:00
阅读次数:
99
/** * PHP解决XSS(跨站脚本攻击)的调用函数 * PHP跨站脚本漏洞补丁,去除XSS(跨站脚本攻击)的函数,把以下代码保存在function.php文件中,在需要防御的页面中include * Enter description here ... * @param unknown_type...
分类:
数据库 时间:
2015-05-18 20:25:16
阅读次数:
201
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Scrip...
分类:
Web程序 时间:
2015-05-18 12:37:49
阅读次数:
270
--Web API CSRF保护实现:http://www.cnblogs.com/Leo_wl/p/3254192.html--asp.net MVC中防止跨站请求攻击(CSRF)的ajax用法http://www.cnblogs.com/walkerwang/p/3554486.html
分类:
其他好文 时间:
2015-05-17 00:42:11
阅读次数:
107
从客户端(txt="节点下增加:web.config: Controller: [HttpPost] [ValidateInput(false)] public string CheckTxt() { } 解...
分类:
其他好文 时间:
2015-05-15 15:07:18
阅读次数:
101
用过CSP的都很郁闷,上报的只有违规的站点名,却没有具体路径。这是缺陷,还是特意的设计?显然,CSP是为安全定制的,里面的规范自然要严格制定,否则就会带来新的安全问题。如果支持详细路径的上报,那又会引出什么问题?由于CSP会上报所有的请求,甚至包括重定向的,因此可以..
分类:
其他好文 时间:
2015-05-06 11:11:43
阅读次数:
118
1、什么是XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,由于其被动且不好利用,所以很多人常呼略其危...
分类:
其他好文 时间:
2015-05-06 10:50:56
阅读次数:
126
有同学问,用百度搜索了下,发现国内相关介绍基本是没有,就写篇文章来介绍下。不过看到有现成的介绍,就拿来翻译修改下。本文的内容主要翻译来自该文章,把一些没必要的话给删了,做了一些整理修改,然后补充一些案例。http://www.acunetix.com/blog/web-security-zone/u...
分类:
其他好文 时间:
2015-05-05 16:15:13
阅读次数:
134
‘>=’>%3Cscript%3Ealert(‘XSS’)%3C/script%3E%0a%0a.jsp%22%3cscript%3ealert(%22xss%22)%3c/script%3e%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/p...
分类:
其他好文 时间:
2015-05-03 15:56:24
阅读次数:
82
