【前端安全】JavaScript防http劫持与XSS 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)CSRF>跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块 ...
分类:
编程语言 时间:
2016-08-20 16:04:04
阅读次数:
269
【前端安全】JavaScript防http劫持与XSS 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块 ...
分类:
编程语言 时间:
2016-08-19 09:53:18
阅读次数:
217
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 跨站偽造請求的攻 ...
分类:
Web程序 时间:
2016-08-19 08:34:54
阅读次数:
608
xss:跨站脚本攻击,攻击者,把一段恶意代码镶嵌到web页面,,用户浏览页面时,嵌入页面的恶意代码就会执行,从而到达攻击用户的目的。 重点在于脚本,javascript和actionscript 属于前段攻击一般分为三类: 反射性xss,储存型XSS,DOM型XSS((还有flash XSS、mXS ...
分类:
Web程序 时间:
2016-08-18 23:20:15
阅读次数:
300
首先说明一下什么是CSRF(Cross Site Request Forgery)? 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。 为什么会有CSRF? JS控制浏览器发送请求的时候,浏览器是根据目标站 ...
分类:
其他好文 时间:
2016-08-17 13:45:44
阅读次数:
285
什么是XSS? 跨站脚本攻击(Cross Site Scripting):攻击者往Web页面里插入恶意脚本,当用户浏览该页面时,嵌入页面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。恶意的内容通常需要以一段JavaScript的形式发送到浏览器,但也可能包括HTML、Flash,或任何其他类型 ...
分类:
其他好文 时间:
2016-08-14 14:41:24
阅读次数:
349
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngineOnRewrit..
分类:
Web程序 时间:
2016-08-13 14:22:13
阅读次数:
309
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过 ...
分类:
其他好文 时间:
2016-08-08 17:40:40
阅读次数:
148
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一、跨站脚本攻击(X ...
分类:
数据库 时间:
2016-08-08 17:13:03
阅读次数:
337
1.@Html.AntiForgeryToken() 用来防止跨站请求伪造(CSRF)攻击的一个措施 2.@Html.ValidationSummary(true) 主要用来 (1). 显示后台 ModelState.IsValid 验证失败后的提示错误信息。 (2). 或者是后台验证通过,但是某些 ...
分类:
Web程序 时间:
2016-08-07 16:45:35
阅读次数:
309
