第二章 浏览器安全 1、同源策略 它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript的浏览器都支持这个策略。 同源是指:协议、端口、域名相同。 现在所有支持JavaScript的浏览器都支持这个策略。 同源是指:协议、端口、域名相同。 eg:当一个浏览器的两个tab页 ...
分类:
Web程序 时间:
2016-10-26 00:19:37
阅读次数:
144
XSS Cross Site Script; XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 1、XSS根据效果划分三类: 1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一 ...
分类:
Web程序 时间:
2016-10-25 23:46:51
阅读次数:
285
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETE正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。其实HSTS的最大作用是防止302 HTTP劫持(中间人)。HSTS的缺点是浏览器支持率不高,另外配 ...
分类:
Web程序 时间:
2016-10-25 01:38:07
阅读次数:
303
HTTP代理服务器的作用 Web安全,应用集成,性能优化 1. 代理 In computer networks, a proxy server is a server (a computer system or an application) that acts as an intermediary ...
分类:
Web程序 时间:
2016-10-22 23:48:05
阅读次数:
234
1.web应用程序所采用的防卫机制的几个核心构成:1、处理用户对应用程序的数据和功能的访问,以防止用户未经授权访问。2、处理用户的输入,以防止恶意的输入导致未预期的行为。3、处理攻击,以确保应用程序在被直接攻击时作出恰当的行为,如采取适当的防御和进攻性措施,以挫败攻击。4、通过使管理员能够监控应用程 ...
分类:
Web程序 时间:
2016-10-16 01:08:30
阅读次数:
201
转载原地址 http://www.bozhiyue.com/mianshiti/_net/2016/0728/314239.html (一) 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可 ...
分类:
数据库 时间:
2016-10-14 09:40:49
阅读次数:
185
本文章转载自 http://www.xuebuyuan.com/60198.html 主要威胁: 暴力攻击(brute-force attack):这些攻击通过尝试所有可能的字符组合,以发现用户证书。首先尝试使用字典单词、常用密码或可预测的字符组合,优化暴力攻击。 账户劫持(account hija ...
分类:
Web程序 时间:
2016-10-14 09:35:47
阅读次数:
268
前述 为了防止一些恶意用户对 apache、nginx、php 等显示出来的版本信息进行攻击,生产环境需要关闭 web 服务的版本信息; apache 隐藏版本号 修改 httpd.conf,添加如下: ServerTokens ProductOnly ServerSignature off 模式可 ...
分类:
Web程序 时间:
2016-10-10 14:09:51
阅读次数:
122
第1章我的安全世界观1.1web安全简史1.1.1中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2黑客技术的发展历程1.1.3web安全的兴起web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足..
分类:
Web程序 时间:
2016-10-09 00:51:12
阅读次数:
229
第2章浏览器安全2.1同源策略同源策略是浏览器的安全基矗同源策略的作用是让"document"相互独立。影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascri..
分类:
Web程序 时间:
2016-10-09 00:50:01
阅读次数:
162
