【crsf 跨站请求伪造】 CSRF(Cross-site request forgery),中文名称:跨站请求伪造。核心为利用浏览器帮助提交cookie。采用随机数方可防御。估计大部小站均无CSRF的防御。 参考: 1、http://www.cnblogs.com/hyddd/archive/20 ...
分类:
其他好文 时间:
2016-04-12 22:24:27
阅读次数:
126
开发过程中需要对用户的输入进行转义,不论是安全地显示用户在表单提交中输入的数据,还是在处理 sql 语句时,进行安全地转义可以有效避免跨站脚本攻击(XSS)和 SQL 注入。 1. 使用 htmlentities() 和 htmlspecialchars() 在处理用户提交的表单数据时,先将用户的输 ...
分类:
其他好文 时间:
2016-04-11 22:20:22
阅读次数:
229
前端 CSRF 跨站请求伪造 客户端添加伪随机数,后台验证 验证码 中间人攻击 SSL证书加密 xss(跨站脚本攻击)漏洞,微软的字符检验(自动) 文本展示编码处理 做标签展示的文本尤其过滤脚本 Cookie HttpOnly HttpOnly情况下js不能操作cookie,在一定情况下能够保证安全 ...
分类:
Web程序 时间:
2016-04-11 15:46:32
阅读次数:
143
为什么使用django?1.支持快速开发:用python开发;数据库ORM系统,并不需要我们手动地构造SQL语句,而是用python的对象访问数据库,能够提升开发效率。2.大量内置应用:后台管理系统admin;用户认证系统auth;会话系统sessions。3.安全性高:表单验证,SQL诸如,跨站点 ...
分类:
其他好文 时间:
2016-04-07 20:26:47
阅读次数:
128
XSS:跨站攻击防御的方法(PHP) 1.转义/编码 htmlspecialchars() 2.过滤 strip_tags() 3.CSP(Content Security Policy) 4.第三方库 (1)HTMLPurifier (2)htmLawed (3)Zend_Filter_Input ...
分类:
其他好文 时间:
2016-04-07 17:05:35
阅读次数:
172
省略一万字的XSS介绍..................... 存储型XSS: 第一种,通过参数传递的攻击: 假如把一个页面把参数直接输出到div里,代码如下 前台代码如下: 如果用户在正常情况下输入 http://localhost:20885/WebForm1.aspx?p=银河最帅 会得到下 ...
分类:
Web程序 时间:
2016-04-06 13:19:11
阅读次数:
157
一、HTTP性能优化HTTP连接过程HTTP连接性能优化-网站性能优化最主要的就是要减少HTTP请求及每次响应中内容的长度。可以从连接过程中的下列方面加以考虑-域名解析尽可能减少域名解析次数---减少跨站外部资源的引用-创建连接努力减少连接创建次数----使用Keep-Alive避免重复连接-..
分类:
Web程序 时间:
2016-04-05 20:18:51
阅读次数:
383
最近遇到的问题小结: 1.django 工程内不要有与项目名称相同的文件。会导致无法import settings.py文件。 2.django 的 csrf 问题,当发送post请求时,会要求同时发送csrf token,是为了防止跨站请求伪造。 具体使用方法见官方文档。 http://docs. ...
分类:
数据库 时间:
2016-04-05 09:20:29
阅读次数:
251
CSRF(Cross Site Request Forgery, 跨站域请求伪造) CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注 ...
分类:
其他好文 时间:
2016-03-31 08:20:41
阅读次数:
142
禁用跨站脚本攻击拦截 1.在配置文件中<httpRuntime >节点中设置,requestValidationModel="2.0". 2.在页面page中,设置属性ValidateRequest="false"; ...
分类:
其他好文 时间:
2016-03-28 15:05:10
阅读次数:
145
