CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。 某次遇到一个没有验证token与referer的CSRF。 其原始数据包为: 很明显,这是个编辑某 ...
分类:
Web程序 时间:
2017-11-30 18:11:31
阅读次数:
255
referer显示来源页面的完整地址,而origin显示来源页面的origin: protocal+host,不包含路径等信息,也就不会包含含有用户信息的敏感内容 referer存在于所有请求,而origin只存在于post请求,随便在页面上点击一个链接将不会发送origin 因此origin较re ...
分类:
其他好文 时间:
2017-11-29 12:49:15
阅读次数:
470
Http协议: 1)http协议: 对浏览器客户端和服务器端之间数据传输的格式规范。 2)http请求:浏览器->服务器端 格式: 请求行(请求方式(GET/POST) 请求资源(URI) http协议版本(http1.1)) 请求头(键值对形式存在。 host、user-agent、referer ...
分类:
Web程序 时间:
2017-11-27 23:49:24
阅读次数:
466
1. Request与Response 1.1. Web应用运行机制 到目前为止,我们已经掌握了Web应用程序的运行机制,现在学习的就是Web应用程序运行机制中很重要的内容 —— Request与Response。 首先,我们先来看一看Request与Response在Web应用程序运行时,是怎么样 ...
分类:
编程语言 时间:
2017-11-16 11:43:54
阅读次数:
159
Nginx防盗链1、[root@centos7test.com]#vi/usr/local/nginx/conf/vhost/test.com.conf#+表示1或者多个,+前面的字符location~*^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${expires7d;valid_referersnoneblockedserver_names*.test.com;#定义referer白名..
分类:
Web程序 时间:
2017-11-15 17:11:07
阅读次数:
277
1.防盗链的基本原理就是就是一句话:通过判断request请求头的refer是否来源于本站。 2.HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。 ...
分类:
其他好文 时间:
2017-11-11 14:49:00
阅读次数:
186
var framework = document.createElement('iframe'); framework.src = 'javascript:document.write(\'\')'; document.body.appendChild(framework); ...
分类:
其他好文 时间:
2017-11-07 18:18:08
阅读次数:
156
1、 web 1.1web结构 1.2常见的服务器 容器: 实现了什么样的规范,就称为什么样的容器 1.3tomcat的版本 1.3.1常见启动问题 端口号冲突 端口号冲突 修改\apache-tomcat-xx\conf\server.xml文件 闪退. 一般需要设置java_home环境变量 闪 ...
分类:
编程语言 时间:
2017-11-06 11:22:13
阅读次数:
227
referer: http://www.cnblogs.com/hykun/p/EventUtil.html#getCharCode 前言:什么是EventUtil? 在JavaScript中,DOM0级、DOM2级与旧版本IE(8-)为对象添加事件的方法不同 为了以跨浏览器的方式处理事件,需要编写 ...
分类:
编程语言 时间:
2017-10-30 16:56:23
阅读次数:
199
标题索引追溯原因数据测试防盗结构追溯原因一步一印,有印为证,网站资源防盗链老生常谈,但是如何才能确保网站资源如图片等特殊资源不被盗链?这不仅仅是运维人员所考虑的问题,更是开发人员必须控制并解决的一个问题,但因爬虫、浏览器插件和开发人员自行伪造http_referer等..
分类:
Web程序 时间:
2017-10-29 23:25:46
阅读次数:
344
