[TOC] csrf:Cross Site Request Forgery protection 基于django中间件拷贝思想 跨站请求伪造简介 ps: 跨站请求伪造解决思路 方式1:form表单发post请求解决方法 下图是网站在form表单隐藏的随机字符串,那么属性就是settings文件中的 ...
分类:
其他好文 时间:
2019-12-06 09:34:06
阅读次数:
85
[toc] 今日内容 昨日回顾 基于配置文件的编程思想 importlib模块 利用字符串的形式导入模块 简单代码实现 跨站请求伪造csrf 1. 钓鱼网站 如何实现 模拟该现象的产生 2. 解决问题 django中的中间件 就是负责校验csrf的 如何识别如何判断当前请求是否是本网站发出的 防御C ...
分类:
其他好文 时间:
2019-12-06 00:00:19
阅读次数:
132
[TOC] importlib 模块 1. 利用字符串导入模块 2. 只能写到文件名为止,不能写内部的变量名 3. 利用反射解决变量名问题 基于django中间件的思想实现功能配置 1. 以模块的方式导入 2. 以配置文件的形式 跨站请求伪造csrf 1. 钓鱼网站原理 1. 模仿正规网站页面,提前 ...
分类:
其他好文 时间:
2019-12-05 22:42:37
阅读次数:
140
[toc] CSRF 跨站请求伪造 解决跨站伪造问题: csrf 相关的装饰器: csrf.js文件: ...
分类:
其他好文 时间:
2019-12-05 22:34:48
阅读次数:
116
本周内容 ? 今日内容 ? ajax结合sweetalert实现删除按钮动态效果 ? bulk_create批量插入数据 ? 自定义分页器 ? 多对多三种创建方式 ? 明日内容 ? forms组件 ? cookies与session操作 ? django中间件 ? 跨站请求伪造csrf ? auth ...
分类:
其他好文 时间:
2019-12-03 21:30:27
阅读次数:
122
跨域: 跨域的条件:同源策略(协议 域名 端口 三者)三者任一不同就为跨域 跨域的解决方案 jsonp (json padding) (callback({a: 1, b: 2})) 前端定义好这个函数的业务逻辑,利用script标签可以引入任意外部的资源 cors(跨站资源共享) 在使用时前端正常 ...
分类:
其他好文 时间:
2019-12-02 11:48:52
阅读次数:
86
xss,前几天做实验做过了,还是再弄一遍巩固一下,明天开始刷题,真开心 0x00 简介 它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式 ...
分类:
其他好文 时间:
2019-12-01 23:08:50
阅读次数:
194
虽然今年没有换工作的打算 但为了跟上时代的脚步 还是忍不住整理了一份最新前端知识点 知识点汇总 1.HTML HTML5新特性,语义化浏览器的标准模式和怪异模式xhtml和html的区别使用data-的好处meta标签canvasHTML废弃的标签IE6 bug,和一些定位写法css js放置位置和 ...
分类:
其他好文 时间:
2019-12-01 16:38:25
阅读次数:
88
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。 通过 ...
分类:
Web程序 时间:
2019-11-30 09:58:01
阅读次数:
101
上一节课,我们通过SQL注入获取目标数据库中的数据,再通过获取帐户密码,进行爆破、后台路径成功地登录进入后台,再通过后台的文件上传漏洞,成功地获取网站的webshell,也就是获取了目标网站的权限。 今天我们讲XSS XSS利用方式 攻击客户端 窃取用户信息 管理员 普通用户 SQL注入利用数据 提 ...
分类:
其他好文 时间:
2019-11-30 00:14:33
阅读次数:
83
