cookies 和session 为什么会有cookie? ? 由于http协议是无状态的,即用户访问过后,不留痕迹(状态可以理解为客户端和服务器在某次会话中产生的数据,那无状态的就以为这些数据不会被保留。) 无法记住用户是谁。但是我们可能在登录之后,要保存用户的部分信息,这样下次就可以直接登录了, ...
分类:
其他好文 时间:
2019-10-31 00:38:16
阅读次数:
71
跨站请求伪造(scrf) 听说过钓鱼网站吗? 就类似于你搭建了一个跟银行一模一样的web页面 用户在你的网站转账的时候输入用户名 密码 对方账户 银行里面的钱确实少了 但是发现收款人变了 原理: 解决钓鱼网站的策略: 所以!! 那个被我们注释掉的中间件,就是用来校验你有没有这个随机字符串的。 这就是 ...
分类:
其他好文 时间:
2019-10-31 00:25:26
阅读次数:
112
跨站请求伪造(csrf) 钓鱼网站 ? 就类似于你搭建了一个跟银行一模一样的web页面 ? 用户在你的网站转账的时候输入用户名 密码 对方账户 ? 银行里面的钱确实少了 但是发现收款人变了 最简单的原理 1. 你写的form表单中 用户的用户名 密码都会真实的提交给银行后台 2. 但是收款人的账户却 ...
分类:
其他好文 时间:
2019-10-31 00:21:48
阅读次数:
109
cookie / session / django中间件 / 跨站请求伪造(csrf) ...
分类:
其他好文 时间:
2019-10-30 23:01:46
阅读次数:
137
概述 XSS(Cross Site Script)全称跨站脚本攻击,为了跟CSS区分开来,所以变成了XSS。它允许恶意代码植入到正常的页面中,盗取正常用户的账号密码,诱使用户访问恶意的网站。 攻击 实施XSS攻击必须具备两个条件 看一个简单的demo,更能清晰的了解什么XSS攻击 我们输入访问地址 ...
分类:
编程语言 时间:
2019-10-30 13:27:14
阅读次数:
121
1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他 ...
分类:
Web程序 时间:
2019-10-27 10:28:40
阅读次数:
131
一、什么是XSS攻击 跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏着安全漏洞。 跨站脚本攻击可能造成以下影响:利用虚假输入表 ...
分类:
其他好文 时间:
2019-10-23 13:51:53
阅读次数:
74
最近在学习react.js,单页面应用,在进行跨站请求时,如果请求头中有其他参数,比如token之类,客户端(chrome)会先发送一个OPTIONS请求,后台需要支持这种请求,并返回202状态。 为了方便起见,暂时使用Filter来实现此功能。 Filter类代码如下: 这个Access-Cont ...
分类:
编程语言 时间:
2019-10-22 18:45:16
阅读次数:
96
在实际的过程中,有时候多个站点需要看成一个站点来评估网站的流量情况,比如同一产品对不同地域使用不同域名,或壳站和主站之间,这就需要对网站做跨域跟踪。 实现原理:每个站点对应一个GTM容器,每个站点在GTM都做同样配置,将不同站点的数据向同一个GA的媒体资源发送,代码中的allowLinker和Coo ...
分类:
其他好文 时间:
2019-10-22 18:08:17
阅读次数:
90
前端发展至今,从最初前端简单的页面切图到现在承担越来越重要的职责,前端安全一直存在并且日益重要。算算做了这么些年前端,真正关心安全问题的时候少之又少,很多时候被安全部门追着跑:"xx,快,有个漏洞补一补"!今天我们主要通过了解--防御几部分对主要的方法做相应的了解,不求做最锋利的矛,但求做不断加强的盾!demosCSRF-跨站请求伪造a.什么是CSRF注:csrf,就像
分类:
其他好文 时间:
2019-10-15 22:48:58
阅读次数:
163
