一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法.一.跨站脚本攻击(XSS) 跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定 ...
分类:
Web程序 时间:
2016-09-22 23:55:40
阅读次数:
327
一、 跨域请求的含义 浏览器的同源策略,出于防范跨站脚本的攻击,禁止客户端脚本(如 JavaScript)对不同域的服务进行跨站调用。 一般的,只要网站的 协议名protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了跨域调用。这也是我们下面实践的理 ...
分类:
其他好文 时间:
2016-09-19 22:16:52
阅读次数:
200
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造的意思。简单的说,它就是网站A对用户建立信任关系后,在网站B上利用这种信任关系,跨站点向网站A发起一些伪造的用户操作请求,以达到攻击的目的。 举个栗子吧,网站A是一家银行的网站,它有一个转账的接口是 http:// ...
分类:
Web程序 时间:
2016-09-18 08:56:24
阅读次数:
173
作者:高鹏 链接:tingandpeng.com/2016/09/05/前端跨域请求原理及实践/ 一、 跨域请求的含义 浏览器的同源策略,出于防范跨站脚本的攻击,禁止客户端脚本(如 JavaScript)对不同域的服务进行跨站调用。 一般的,只要网站的 协议名protocol、 主机host、 端口 ...
分类:
其他好文 时间:
2016-09-17 01:59:28
阅读次数:
353
一、简介 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。 全局: 中间件 django.middleware.csrf.CsrfView ...
分类:
其他好文 时间:
2016-09-17 00:28:34
阅读次数:
235
XSS分为三类:Stored XSS、Reflected XSS、Dom-Base XSS (1)Stored XSS,即存储式跨站攻击,存储式跨站攻击简单来说就是攻击者提交给网站的数据会提交并永久保存到服务器的数据库或者是文件系统等其他地方,之后不做任何编码操作就会显示在web页面上。这是最厉害的 ...
分类:
其他好文 时间:
2016-09-15 17:55:14
阅读次数:
181
转自:http://www.leavesongs.com/PENETRATION/nginx-safe-dir.html 众所周知,虚拟主机的安全不好做,特别是防止跨站成为了重点。apache+php服务器防止跨站的方式比较简单,网上的所有成熟虚拟主机解决方案都是基于apache的,如directa ...
分类:
其他好文 时间:
2016-09-14 00:16:46
阅读次数:
185
比如session这种设置,都是设置了HttpOnly 导致document.cookie看不到,这和xss 跨站脚本攻击(Cross Site Scripting) ...
分类:
其他好文 时间:
2016-09-13 13:43:14
阅读次数:
169
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 ...
分类:
其他好文 时间:
2016-09-13 11:19:53
阅读次数:
173
Ajax,是Asynchronous JavaScript + XML的简写,这一技术能向服务器请求额外的技术而无需卸载页面,会带给用户更好的体验。Ajax的核心是XMLHttpRequest对象。为了防止XSS(跨站点脚本)、CSRF(跨站点请求伪造)等攻击,Ajax有着同源策略的限制;解决跨域的 ...
分类:
编程语言 时间:
2016-09-12 06:14:46
阅读次数:
209
