跨站请求伪造保护 CSRF 中间件和模板标签提供对跨站请求伪造简单易用的防护。某些恶意网站上包含链接、表单按钮或者JavaScript ,它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作,这就是跨站攻击。还有另外一种相关的攻击叫做“登录CSRF”,攻击站点触发用户浏览器用其它人 ...
分类:
编程语言 时间:
2016-06-10 19:12:13
阅读次数:
211
学习AJAX跨域获取数据碰到这个问题,特此记录。 理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 同源是什么?URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 为什么需要同源? 假设从一个恶意网站打开支付宝或其他重要 ...
分类:
其他好文 时间:
2016-06-05 15:15:21
阅读次数:
205
简介 那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL。这种篡改就被称为开发重定向攻击。 场景分析 假设有一个正规网站http://nerddinner.com/,还有一个恶意网站或钓鱼网站http://nerddiner.com/(注 ...
分类:
Web程序 时间:
2016-05-19 16:33:33
阅读次数:
228
通常会为了开发方便、或者屏蔽掉一些恶意网站,我们会在hosts(c:\windows\system32\drivers\etc\hosts)文件中进行相应的域名指向,例: 在上图中,我们可以看到,将www.ywec.com指向到了127.0.0.1,在命令行下ping一下该域名,我们发现它已经被指向 ...
地址:位于c:\windows\system32\drivers\etc\中的HOSTS文件 ????????作用:通过绑定主机名或域名与IP来达到解析的目的,可以用它来屏蔽恶意网站或加快访问。简单点说就是域名或主机名解析...
分类:
其他好文 时间:
2015-11-10 16:31:58
阅读次数:
223
在ASP.NET 5应用程序中的跨域请求功能详解浏览器安全阻止了一个网页中向另外一个域提交请求,这个限制叫做同域策咯(same-origin policy),这组织了一个恶意网站从另外一个网站读取敏感数据,但是一些特殊情况下,你需要允许另外一个站点跨域请求你的网站。跨域资源共享(CORS:Cross...
分类:
Web程序 时间:
2015-08-28 12:52:23
阅读次数:
161
浏览器安全阻止了一个网页中向另外一个域提交请求,这个限制叫做同域策咯(same-origin policy),这组织了一个恶意网站从另外一个网站读取敏感数据,但是一些特殊情况下,你需要允许另外一个站点跨域请求你的网站。 跨域资源共享(CORS:Cross Origin Resources Shari...
分类:
Web程序 时间:
2015-08-27 15:08:47
阅读次数:
178
什么是跨站伪造请求攻击? 我自己的理解:用户A用浏览器访问量一个存在漏洞的网站B,同时A又访问了恶意网站C,假设用户A在B网站上进行了一次交易,C网站上有个<img src="A网站的交易地址"/>的html片段,那么此时用...
分类:
其他好文 时间:
2015-08-05 22:50:22
阅读次数:
212
这几天我在访问一些网站时,AVAST常会出现阻拦恶意网站的提示,如下:
这个aicdn.com是哪的?怎么好多网站都会用这个?
在百度上查这个域名,结果如下:
从查询中能看出,这个aicdn.com是属于又拍云的CDN域名。
在此发挥我那一点点的技术能力,粗略分析后,估计可能有如下两种情况发生:
第一种情况
有人攻破了又拍云存储系统,每个又拍云的用户访问时都会调...
分类:
其他好文 时间:
2015-01-20 15:48:14
阅读次数:
147
2015在即,国外媒体评出2014年的网络安全十大事件。见下:一、eBay两次被黑2014年,对于遭遇多次安全事件的eBay来说,可不是一个好年份。今年九月,eBay受到跨站脚本攻击,导致向其部分用户发送恶意网站以窃取用户凭证。有报道称,eBay公司应对安全问题异常缓慢,从首个用户向易贝反映问题开始...
分类:
其他好文 时间:
2014-12-28 14:13:25
阅读次数:
215
