Content Security Policy(CSP)简介
传统的web安全应该主要是同源策略(same origin policy)。A网站的代码不能访问B网站的数据,每个域都和其他的域相互隔离,给开发者营造了一个安全沙箱。理论上这是非常聪明的做法,但是实际执行过程中,攻击者使用了各种高招可以推翻这套保护。
XSS攻击者把恶意代码注入在网站常规数据里,这样就可以绕过浏览器的...
分类:
其他好文 时间:
2014-08-18 23:35:03
阅读次数:
362
OpenID解决跨站点的认证问题,OAuth解决跨站点的授权问题。认证和授权是密不可分的。而OpenID和OAuth这两套协议出自两个不同的组织,协议上有相似和重合的之处,所以想将二者整合有些难度。好在OpenID Connect作为OpenID的下一版本,在OAuth 2.0的协议基础上进行扩展,...
分类:
Web程序 时间:
2014-08-17 22:33:23
阅读次数:
948
在2011年的BlackHat DC 2011大会上Ryan Barnett给出了一段关于XSS的示例javascript代码:($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__[...
分类:
编程语言 时间:
2014-08-15 15:56:08
阅读次数:
254
sharepoint提供的spfile相关方法中只能通过站点内复制移动文件,站点间复制文件需要用到将文件转换为字节流数据。以下提供函数进行进行站点间复制参考。 1 public static void MovetofileAcrossWeb(string sourcewebUrl, string ....
分类:
其他好文 时间:
2014-08-15 12:03:38
阅读次数:
179
引起原因:个人认为 csrf 在 Ajax 盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也...
分类:
其他好文 时间:
2014-08-13 10:25:25
阅读次数:
241
Ajin Abraham(OWASP Xenotix XSS Exploit Framework的作者哦!)编写的《THE ULTIMATEXSSPROTECTION CHEATSHEET FOR DEVELOPERS V1.0》着实不错,把XSS的方方面面都考虑了进去,在此分享给诸位。下载地址
分类:
其他好文 时间:
2014-08-12 13:27:44
阅读次数:
170
很多时候,我们为了安全,会对存储的信息,进行转义,过滤等处理,这样带来的坏处是,破坏原始的数据,而且转义会占用多余的空间. 本人使用JFinal框架,开始考虑过全局设置过滤器,有的不需要的也会转义,...
分类:
其他好文 时间:
2014-08-12 09:08:08
阅读次数:
425
在Web项目中,关键词挖掘通常需求处置XSS,SQL写入进犯,处置这个疑问有两个号码大全思路:在数据进入数据库之前对不合法字符进行转义,在更新和显现的时分将不合法字符复原在显现的时分对不合法字符进行转义假如项目还处在起步期间,主张运用第二种,直接运用jstl的标签即可处置不合法字符的疑问。当然,对于...
分类:
数据库 时间:
2014-08-11 10:07:01
阅读次数:
281
//get拦截规则$getfilter = "\\||\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|]*?\\bon([a-...
分类:
Web程序 时间:
2014-08-10 12:53:40
阅读次数:
235
1)普通的XSS JavaScript注入
(2)IMG标签XSS使用JavaScript命令
(3)IMG标签无分号无引号
(4)IMG标签大小写不敏感
(5)HTML编码(必须有分号)
(6)修正缺陷IMG标签
alert(“XSS”)”>
(7)formCharCode标签(计算器)
(8)UTF...
分类:
其他好文 时间:
2014-08-09 04:57:37
阅读次数:
330
