xss -- 跨站脚本攻击 防御XSS攻击:(1)输入过滤替换(2)输出过滤替换(3)设置httpOnly 锁死 cookie csrf -- 跨站请求伪造 防御CSRF攻击:(1)验证 HTTP Referer 字段(2)在请求地址中添加 token 并验证(3)在 HTTP 头中自定义属性并验证 ...
分类:
其他好文 时间:
2021-05-24 03:21:37
阅读次数:
0
继续分享xss tips的。 前几天php代码安全审查,也发现了相同的问题,在xss过滤上,很多人会陷入一个误区。 看我以往文章会发现,全局的实体编码是不安全的,因为实体编码不会处理\,强转url编码是相对安全的,经常写java,都知道,java在处理用户输入的特殊字符串,会用Escaper这个第三 ...
分类:
其他好文 时间:
2021-05-04 16:43:00
阅读次数:
0
总体结构 head.payload.signature 怎么来的 head,头部。 记录了token的类型和加密算法的josn。 像是这样:{ "typ": "JWT", "alg": "HS256" }。 然后要转成base64字符串。 payload,载荷信息。 记录了用户信息的json。 然后 ...
分类:
其他好文 时间:
2021-05-04 15:16:33
阅读次数:
0
Cookie&Session Cookie 1. 什么是Cookie? Cookie 是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用;这些信息以键值对的形式保存 ...
分类:
编程语言 时间:
2021-05-03 12:49:31
阅读次数:
0
cookie_js npm install cookie_js --save 储存 cookie.set('key', 'value'); cookie.set(key1: 'value1'; key2: 'value2'); 获取 cookie.get('key'); cookie.get('ke ...
分类:
Web程序 时间:
2021-04-27 15:08:52
阅读次数:
0
实验 1.以图片方式,向页面输出红色的当前时间日期,格式为“yyyy年MM月dd日 HH:mm:ss”。 2.又一个简单的登录功能(一定时期的免登陆): (1)登录界面输入用户名、密码,勾选“一个星期自动登录”后,提交至CheckServlet; (2)CheckServlet中判断用户名密码非空且 ...
分类:
其他好文 时间:
2021-04-26 13:22:10
阅读次数:
0
第一步: 创建lang文件夹 index.js import Vue from 'vue' import VueI18n from 'vue-i18n' import Cookies from 'js-cookie' import elementEnLocale from 'element-ui/l ...
分类:
其他好文 时间:
2021-04-23 11:59:54
阅读次数:
0
显示的内容,如下: 特性cookiesessionStoragelocalStorage 数据生命期 生成时就会被指定一个maxAge值,这就是cookie的生存周期,在这个周期内cookie有效,默认关闭浏览器失效 页面会话期间可用,(即只要浏览器处于打开状态,包括页面重新加载和恢复)浏览器关闭则 ...
分类:
其他好文 时间:
2021-04-23 11:59:05
阅读次数:
0
TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法。 启用TRACE方法存在如下风险: 1、恶意攻击者可以通过TRACE方法返回的信息了解到网站前端的某些信息,如缓存服务器等,从而为进一步的攻击提供便利。 2、恶意攻击者可以通过TRACE方法进行XSS攻击。 3、即使网站对关键页面启用... ...
分类:
Web程序 时间:
2021-04-21 12:56:24
阅读次数:
0
首先,从存储的位置来看,可以这么划分: 1. 服务端缓存:session 2. 浏览器端缓存:cookie,localStorage,sessionStorage 其中,cookie也可以在服务端进行操作 localStorage :~5MB,数据永久保存直到用户手动删除sessionStorage ...
分类:
其他好文 时间:
2021-04-21 11:54:12
阅读次数:
0
