摘自:https://zhuanlan.zhihu.com/p/26375200 XSS(cross-site script)跨站脚本自1996年诞生以来,一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。也有黑客把xs ...
分类:
其他好文 时间:
2019-12-06 21:19:40
阅读次数:
124
[toc] 功能配置设计 实现类似于的django中settings.py中的中间件的字符串, 注释某个字符串, 使得相应的功能失效 模块 跨站请求伪造CSRF 什么是CSRF 什么是跨站请求伪造呢? 举一个简单的钓鱼网站的例子 我们对照着某银行的页面写一个一模一样的页面, 然后将用户 "钓" 到我 ...
分类:
其他好文 时间:
2019-12-06 10:02:55
阅读次数:
92
[TOC] csrf:Cross Site Request Forgery protection 基于django中间件拷贝思想 跨站请求伪造简介 ps: 跨站请求伪造解决思路 方式1:form表单发post请求解决方法 下图是网站在form表单隐藏的随机字符串,那么属性就是settings文件中的 ...
分类:
其他好文 时间:
2019-12-06 09:34:06
阅读次数:
85
[toc] 今日内容 昨日回顾 基于配置文件的编程思想 importlib模块 利用字符串的形式导入模块 简单代码实现 跨站请求伪造csrf 1. 钓鱼网站 如何实现 模拟该现象的产生 2. 解决问题 django中的中间件 就是负责校验csrf的 如何识别如何判断当前请求是否是本网站发出的 防御C ...
分类:
其他好文 时间:
2019-12-06 00:00:19
阅读次数:
132
[TOC] importlib 模块 1. 利用字符串导入模块 2. 只能写到文件名为止,不能写内部的变量名 3. 利用反射解决变量名问题 基于django中间件的思想实现功能配置 1. 以模块的方式导入 2. 以配置文件的形式 跨站请求伪造csrf 1. 钓鱼网站原理 1. 模仿正规网站页面,提前 ...
分类:
其他好文 时间:
2019-12-05 22:42:37
阅读次数:
140
[toc] CSRF 跨站请求伪造 解决跨站伪造问题: csrf 相关的装饰器: csrf.js文件: ...
分类:
其他好文 时间:
2019-12-05 22:34:48
阅读次数:
116
本周内容 ? 今日内容 ? ajax结合sweetalert实现删除按钮动态效果 ? bulk_create批量插入数据 ? 自定义分页器 ? 多对多三种创建方式 ? 明日内容 ? forms组件 ? cookies与session操作 ? django中间件 ? 跨站请求伪造csrf ? auth ...
分类:
其他好文 时间:
2019-12-03 21:30:27
阅读次数:
122
跨域: 跨域的条件:同源策略(协议 域名 端口 三者)三者任一不同就为跨域 跨域的解决方案 jsonp (json padding) (callback({a: 1, b: 2})) 前端定义好这个函数的业务逻辑,利用script标签可以引入任意外部的资源 cors(跨站资源共享) 在使用时前端正常 ...
分类:
其他好文 时间:
2019-12-02 11:48:52
阅读次数:
86
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。 通过 ...
分类:
Web程序 时间:
2019-11-30 09:58:01
阅读次数:
101
pythonjenkins打包构建代码#pipinstallpython-jenkinsimportjenkinsimportpprintimporttime#在jenkins的ConfigureGlobalSecurity下,取消“防止跨站点请求伪造(PreventCrossSiteRequestForgeryexploits)”的勾选server=jenkins.Jenkins(‘http:/
分类:
编程语言 时间:
2019-11-29 09:19:29
阅读次数:
101
