一、XSS(跨站脚本攻击) 攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的 解决方式: 1、从客户端和服务器端双重验证所有的输入数据,这一般能阻挡大部分注入的脚本 2、对所有的数据进行适当的编码 3、设置 HTTP Header: "X-XSS-Protect ...
分类:
Web程序 时间:
2019-08-25 22:55:13
阅读次数:
203
1.今日工作 实现点击主页食堂入口即可跳转到对应食堂页面;新建了三个食堂内选餐的页面,每个页面内都设置了食堂介绍栏,菜单栏和底部购物车,菜单栏展示菜品的图片,名称及价格 还有选择菜品的加号图标 2.明日计划 实现菜品添加至购物车功能,选菜数量的加减,对应的购物车状态的改变,应付价格的变动,实现清空购 ...
分类:
其他好文 时间:
2019-08-25 20:27:06
阅读次数:
102
一、XSS跨站脚本攻击 1、XSS攻击有两大步骤: (1)、攻击者提交恶意代码 (2)、浏览器执行恶意代码 2、XSS攻击的分类 根据攻击的来源,XSS攻击可以分为存储型、反射型、DOM型三种: 1、纯前端渲染,把代码和数据分割开 2、对html充分转义 1、避免使用.innerHTML、.oute ...
分类:
Web程序 时间:
2019-08-25 18:06:03
阅读次数:
222
csrf(Cross-site request forgery) 跨站请求伪造 是指利用受害者尚未失效的身份认证信息,诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作 但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通 ...
分类:
其他好文 时间:
2019-08-24 09:59:34
阅读次数:
95
存储型XSS (持久性XSS) 将恶意JavaScript代码存储在数据库,当下次用户浏览的时候执行 Low "\0" - NULL "\t" - 制表符 "\n" - 换行 "\x0B" - 垂直制表符 "\r" - 回车 " " - 空格 Medium strip_tags() 函数剥去字符串中 ...
分类:
其他好文 时间:
2019-08-22 11:29:30
阅读次数:
119
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名 ...
分类:
其他好文 时间:
2019-08-22 01:20:41
阅读次数:
369
二、WXML和HTML的异同、WXSS和CSS的异同 (1)WXML和HTML 相同点:都是用来描述页面结构的,由标签、属性组成 不同点:标签名不一样,小程序标签名更少; 小程序多了 wx:if 这样的属性和 {{}} 的表达式; 小程序只能在微信开发者工具中预览,而HTML可以在浏览器中预览; 小 ...
分类:
微信 时间:
2019-08-21 21:33:36
阅读次数:
143
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创 ...
分类:
其他好文 时间:
2019-08-20 11:07:41
阅读次数:
178
CSRF 介绍 CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操 ...
分类:
其他好文 时间:
2019-08-20 10:30:02
阅读次数:
128
各种类型的线程他们所需要的栈的大小其实是可以通过不同的参数来控制的: java_thread的stack_size,其实就是-Xss或者-XX:ThreadStackSize的值 compiler_thread的stack_size,是-XX:CompilerThreadStackSize指定的值 ...
分类:
其他好文 时间:
2019-08-19 11:15:49
阅读次数:
128
