xss攻击: 跨站脚本攻击,攻击者在网页中嵌入恶意代码,当用户打开网页,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie,用户名密码,下载执行病毒木马程序,甚至是获取客户端admin权限等。 原理就是用户输入的时候,输入一些可执行代码,例如<input name="username" ...
分类:
Web程序 时间:
2016-05-13 18:51:18
阅读次数:
135
处理web表单表单需要Flask-WTF
在根目录创建一个配置文件
myblog/config.py
CSRF_ENABLED=True
SECRET_KEY='you-will-never-guess'
CSRF_ENABLED配置是为了激活跨站点请求伪造保护
SECRET_KEY是当CSRF激活后,建立一个加密令牌,用于验证表单
修改app/__init__.py...
分类:
Web程序 时间:
2016-05-12 15:11:03
阅读次数:
220
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶 ...
分类:
其他好文 时间:
2016-05-12 01:17:00
阅读次数:
205
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 ...
分类:
其他好文 时间:
2016-05-11 15:04:49
阅读次数:
155
大多数人对于XSS的原理有一个基本认识,这里不再重复,只给出一个能够演示其原理的完整样例。1 角色分配有XXS漏洞的网站,IP地址172.16.35.135,PHP为开发语言受害访问者,IP地址172.16.35.220,浏览器为IE11黑客的数据接收网站,IP地址172.16.2.192,PHP为... ...
分类:
其他好文 时间:
2016-05-09 14:14:44
阅读次数:
191
按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Policy" header 9 Missing "X-Content-Type-Options" header ...
分类:
移动开发 时间:
2016-05-08 10:27:54
阅读次数:
1606
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过 ...
分类:
其他好文 时间:
2016-05-08 10:19:13
阅读次数:
212
MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻 ...
分类:
Web程序 时间:
2016-05-07 18:02:29
阅读次数:
179
报错信息:从客户端(Content="<EM ><STRONG ><U >这是测试这...")中检测到有潜在危险的Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程 ...
分类:
Web程序 时间:
2016-05-03 12:25:28
阅读次数:
136
一、跨域问题的由来 同源策略:出于安全考虑,浏览器会限制脚本中发起的跨站请求,浏览器要求JavaScript或Cookie只能访问同域下的内容。 正是由于这个原因,我们不同项目之间的调用就会被浏览器阻止。比如我们最常见的场景:WebApi作为数据服务层,它是一个单独的项目,我们的MVC项目作为Web ...
