0x01 XSS介绍 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意 ...
分类:
其他好文 时间:
2020-02-29 18:53:44
阅读次数:
103
最近写了一个 API Token 的校验服务,想要增加时效性控制,比如一个 API,超过一段时间(比如 10s)之后,用同样的参数再请求就会被服务器禁掉,无法获取正常数据,这样可以保证数据的安全。 怎么增加时效性控制呢?加一个时间的信息就好了,我们可以把时间信息包含在一个 API URL 的额外的参 ...
分类:
其他好文 时间:
2020-02-29 18:52:54
阅读次数:
92
1,在写根plc通讯的时候,有时候需要取消任务.一般就是需要建立 一个canceltokensource对象. 然后将其 token参数传递给 异步的过程.(注意,过程函数必须要实现token的IscancelRequest的功能)2,有以下几个地方m_cts.Cancel():用来调用Cancel... ...
分类:
其他好文 时间:
2020-02-29 18:39:55
阅读次数:
56
jwt的总结与实现 请求和响应 1. 请求实体 规定的客户端传给jwt认证服务器的参数 2. 响应实体 规定了jwt服务端颁发给客户端的jwt token的结果 jwtUtil类 主要提供了jwt的实现方法,如加密规则,生成token,获取token等 SecurityConfigurer类 主要设 ...
分类:
编程语言 时间:
2020-02-29 14:38:49
阅读次数:
78
JWT是基于DRF框架上开发的一个专门认证的插件。 认证流程是:用户登录后,后端传给前端一个token,token中包含用户和密码信息。用户调用接口时,需要携带token,后端对token进行解锁,如果解锁成功,允许登录,否则,返回登录失败信息。 1 执行数据迁移 Django工程,执行数据迁移时会 ...
分类:
其他好文 时间:
2020-02-29 12:58:49
阅读次数:
82
搞了一天终于搞定了 用node上传图片到七牛 代码如下: const qiniu_sdk = require('qiniu') qiniu_sdk.conf.ACCESS_KEY = '***********************'; qiniu_sdk.conf.SECRET_KEY = '** ...
分类:
Web程序 时间:
2020-02-28 23:03:45
阅读次数:
89
一 前言 此篇文章的内容也是学习不久,终于到周末有时间码一篇文章分享知识追寻者的粉丝们,学完本篇文章,读者将对token类的登陆认证流程有个全面的了解,可以动态搭建自己的登陆认证过程;对小项目而已是个轻量级的认证机制,符合开发需求; 更多精彩原创内容关注公主号知识追寻者,读者的肯定,就是对作者的创作 ...
分类:
编程语言 时间:
2020-02-28 22:36:59
阅读次数:
99
近日,微盟“删库”事件引起广泛关注,再次给广大企业敲响 运维安全及数据 安全 警钟。面对日渐复杂的企业IT系统,完善企业运维安全体系,让运维自动化、规范化,消除潜在风险,是企业当前急需解决的问题。 BeyondBSM自动化运维平台是为企业信息部门提供的建设运维自动化体系的一体化解决方案, 经过多年实 ...
分类:
其他好文 时间:
2020-02-28 14:13:10
阅读次数:
87
如果想要取消表单的CSRF防护,可以在模板上删除{% csrf_token %}, 并且在相应的视图函数中添加装饰器@csrf_exempt, 代码如下: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def re ...
分类:
其他好文 时间:
2020-02-28 13:49:25
阅读次数:
322
利用场景:后台存在添加管理员的功能,如下: 进行抓包观察,发现成功抓包 那么为了防止类似的CSRF攻击的话,肯定需要进行防御措施: 1、验证请求是否token合法 2、判断请求的来源是否合法 token验证: 重新进行抓包,如下,发现添加成功 如果删除token的话再次测试,添加失败 判断请求的来源 ...
分类:
其他好文 时间:
2020-02-27 20:51:46
阅读次数:
62
