1、DIBRG2、 在IE下可以,在FF下不可以3、 IE,FF下均可4、 在IE下可以,在FF下不可以5、 XSS a="get"; b="URL("""; c="javascript:"; d="alert('XSS');"")"; eval(a+b+c...
分类:
其他好文 时间:
2014-06-19 08:59:06
阅读次数:
270
HTTP本身是无状态的.这符合HTTP协议设计的目的.客户端只是简单地向服务器请求某种资源.两者都没有必须记录彼此过去的行为,每一次请求之间都是独立的.为了保存状态.在客户端使用Cookie,在Server端使用Session.同时,服务器端状态保存方案在客户端也需要保存一个标识.所以,Sessio...
分类:
其他好文 时间:
2014-06-18 21:36:26
阅读次数:
263
集群中session安全和同步是个最大的问题,下面是我收集到的几种session同步的方案,希望能通过分析其各自的优劣找出其适应的场景。1. 客户端cookie加密这是我以前采用的方式,简单,高效。比较好的方法是自己采用cookie机制来实现一个session,在应用中使用此session实现。问题...
分类:
其他好文 时间:
2014-06-15 22:06:52
阅读次数:
244
本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为...
分类:
其他好文 时间:
2014-06-15 13:46:19
阅读次数:
223
本文准备说明以下几个问题:1. 关于重复编码的问题2. 关于编码的多种形式的问题3. 关于编码的几个常见问题【说明】本文所述编码是指encode,可以理解为转义,而不是编程序写代码。编码或者转义机制替我们解决两个问题:a. 避免保留字冲突问题,对于web应用来说,XSS问题也是其中一类b. 表达不可...
分类:
其他好文 时间:
2014-06-15 13:36:32
阅读次数:
331
目录0x00:基本介绍0x01:html实体编码0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理!0x03:javascript编码0x04:base64编码0x05:闲扯0x00基本介绍提起XSS 想到的就是插入字符字符编码与各种解析了!这也就是各种xss编码插件跟工具出世的原因!之...
分类:
其他好文 时间:
2014-06-15 13:35:15
阅读次数:
507
#!/usr/bin/env python# -*- coding: utf-8 -*-############################################## File : requestAnyURLWithCookie.py# Author : luc...
分类:
Web程序 时间:
2014-06-15 00:33:30
阅读次数:
187
Cookie,也称之为HTTP Cookie、Web Cookie或者浏览器Cookie,是一小段由网站生成的并被存储在用户浏览器的数据,它随着用户访问网站而产生。当用户在以后再次浏览相同的网站,这小段包含用户之前信息的数据将被发送回网站。Cookie的种类Session Cookie:一个用户的S...
分类:
其他好文 时间:
2014-06-15 00:27:19
阅读次数:
272
一、cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。 同时我们也看到,由于在服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标.....
分类:
其他好文 时间:
2014-06-14 23:56:41
阅读次数:
372
判断一个用户是否登录非常简单,使用 Yii::app()->user->isGuest 即可. 若使用持久存储如 session (默认地) 和/或 cookie (下面讨论) 来存储身份信息, 用户在随后的请求中保持已登录状态. 这样,我们无需为每次请求使用 UserIdentity 类和完整的登录验证. CWebUser 将自动从持久存储中载入身份信息,用它们来检测Yii::app()->user->isGuest 返回的是 true 还是 false....
分类:
其他好文 时间:
2014-06-14 17:50:15
阅读次数:
233
