今天往MVC中加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="这是测试这...")中检测到有潜在危险的Request.Form值。说明:请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要...
分类:
Web程序 时间:
2014-11-06 09:18:13
阅读次数:
162
偶然发现!下面是一个非常简单的jsp页面:Hello World! Accesses to page since server reboot: Click to Download "); String name = request.g...
分类:
其他好文 时间:
2014-11-05 19:34:52
阅读次数:
343
在实际的应用中,经常会遇到一些特殊的情况,比如需要新闻,天气预报,等等,但是作为个人站点或者实力小的站点 我们不可能有那么多的人力 物力 财力去做这些事情,怎么办呢?好在互联网是 资源共享的,我们可以利用程序 自动的把别的站点的页面抓取回来经过处理后被我们所利用。用什么呢,那个战友给的是不行的,其实...
分类:
其他好文 时间:
2014-11-05 12:35:18
阅读次数:
178
跨站脚本攻击(CrossSiteScripting)指的是恶意攻击者往Web页面里插入恶意脚本代码,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。为了与层叠样式表(CascadingStyleSheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。为了更..
分类:
其他好文 时间:
2014-11-05 09:20:11
阅读次数:
198
一直以来在项目中使用Apache Velocity模板引擎作为视图层输出,为了解决XSS漏洞,需要对输出到页面的内容进行HTML转义,我一般采用2种方式实现: 使用过滤器?Filter,在其中进行?HttpServletRequestWrapper?的...
分类:
Web程序 时间:
2014-11-04 17:43:28
阅读次数:
778
摘要:XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很 难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。XSS跨站脚本攻击一直都被认为是客...
分类:
Web程序 时间:
2014-11-04 17:13:06
阅读次数:
200
控制器中直接写SQL语句,未封装
//
// ViewController.m
// 1.sqlite3基本操作
//
// Created by xss on 14-11-2.
// Copyright (c) 2014年 beyond. All rights reserved.
//
#import "ViewController.h"
// 1.导入库,2.添加主头文件
#i...
分类:
移动开发 时间:
2014-11-02 19:40:21
阅读次数:
309
漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现,IE8的Xss Filter存在漏洞,导...
分类:
其他好文 时间:
2014-11-01 13:26:51
阅读次数:
175
前言
上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响。那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全漏洞。
由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞。当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓。了解了原理,什么环...
分类:
Web程序 时间:
2014-10-31 22:14:54
阅读次数:
401
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你能够把...
分类:
其他好文 时间:
2014-10-31 20:31:23
阅读次数:
203
