一、什么是web应用安全,为了安全我们要做哪些事情? 保护web资源不受侵害(资源:用户信息、用户财产、web数据信息等)对访问者的认证、授权,指定的用户才可以访问资源访问者的信息及操作得到保护(xss csrf sql注入等) 开发中我们需要注意的项:1. 【高危】网络关键数据传输加密1. 【高危 ...
分类:
编程语言 时间:
2020-01-17 19:28:18
阅读次数:
94
1.spaceless标签:移除html标签中的空白字符。包括空格、tab键、换行符,示例代码如下: 2.autoescape标签:DTL模板中默认已经开启了自动转义,会将那些特殊字符串进行转义,比如会将“”转移成“ ”,使用DTL的自动转义,可以使网站不容易出现XSS漏洞。 如果变量是可信任的,那 ...
分类:
编程语言 时间:
2020-01-16 13:00:00
阅读次数:
277
一.问题产生环境 1.1 为什么会产生跨域问题? 跨域不一定都会有跨域题。 因为跨域问题是浏览器对于ajax请求的一种安全限制; 一个页面发起的 Ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击; 因此: 跨域问题是针对ajax的一种限制但是这却给我们的开发帯来了不便,而且在实际生 ...
分类:
其他好文 时间:
2020-01-16 12:23:04
阅读次数:
201
XSS基础学习 By:Mirror王宇阳 什么是XSS XSS攻击是指在网页中嵌入一段恶意的客户端Js脚本代码片段,JS脚本恶意代码可以获取用户的Cookie、URL跳转、内容篡改、会话劫持……等。 xss攻击手段本身对服务端没有直接的危害,xss主要是借助网站传播;一般通过留言板、邮件、等其他途径 ...
分类:
其他好文 时间:
2020-01-15 14:13:46
阅读次数:
74
django请求生命周期流程图 djang中间件 它是django的门户 只要是全局相关的功能你都应该考虑使用django中间件来帮你完成 全局用户身份校验 全局用户访问频率校验 用户访问黑名单 用户访问白名单 # 只要以后用django开发业务 设计到全局相关的功能 你就考虑用中间件 MIDDLE ...
分类:
其他好文 时间:
2020-01-15 09:18:31
阅读次数:
83
反射型xss low级别 代码如下: 1 <?php 2 3 header ("X-XSS-Protection: 0"); 4 5 // Is there any input? 6 if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] ! ...
分类:
其他好文 时间:
2020-01-14 20:33:07
阅读次数:
73
Listener、Filter和Servlet是JavaWeb开发过程中常用的三个组件,其中Filter组件的使用频率最高,经常被用来做简单的权限处理、请求头过滤和防止XSS***等。如果我们使用的是传统的SpringMVC进行开发,那么只需要在Tomcat的web.xml文件中进行如下配置即可:<!--配置Listener--><listener><listener-
分类:
编程语言 时间:
2020-01-14 19:02:01
阅读次数:
94
本周安排 bbs全部结束 今日内容 forms组件 cookie与session操作 每日内容 django中间件 csrf跨站请求伪造 auth认证模块 bbs表设计 周三四五 bbs业务实现 2020年目标 坚持做一年 今年目标确立 2019年 难 = 又 + 佳 上周内容回顾 多对多三种创建方 ...
分类:
其他好文 时间:
2020-01-14 09:50:57
阅读次数:
88
、`Filter Servlet XSS`攻击等。如果我们使用的是传统的Spring MVC进行开发,那么只需要在Tomcat的web.xml文件中进行如下配置即可: PS:在容器启动的时候,上面三个组件启动的顺序是Listener Filter Servlet,这边安利一个记忆的方法:把启动顺序记 ...
分类:
编程语言 时间:
2020-01-13 14:25:08
阅读次数:
88
一、csrf攻击 1.1 csrf攻击(跨站请求伪造) 【csrf攻击即】:通过第3方网站,伪造请求(前提条件是你已经登录正常网站,并保存了session或cookie登录信息且没有退出),第三方网站即可通过你的session或cookie直接修改正常网站的用户名密码。 1. 首先做一个登录页,让用 ...
分类:
Web程序 时间:
2020-01-13 13:04:55
阅读次数:
133
