文档章节

csrf和xss防御方法

f
 fang_faye
发布于 2017/08/30 10:02
字数 248
阅读 8
收藏 0

xss:就是让自己的js代码被执行

防御:

1、完善的过滤体系。永远不相信用户的输入。

2、Html encode。不能对用户输入进行过滤的时候,要对标签进行转换。

 

csrf:让用户在不知情的情况下访问一个攻击者已控制的网站

防御:

1、通过referer、token或者验证码来检测用户提交

2、尽量不要在页面的链接中暴露用户隐私信息。

3、对于用户修改删除等操作最好都使用post 操作 。

4、避免全站通用的cookie,严格设置cookie的域。

© 著作权归作者所有

f
粉丝 6
博文 149
码字总数 44427
作品 0
崇明
其他
私信 提问
网络信息系统安全检测方案设计(上)

当前网络攻击日益猖獗,各种入侵手段层出不穷。众多信息系统因为只重视业务逻辑和敏捷开发的缘故,没有在安全检测这一块给予足够的关注和一定分析,从而往往成为黑客或不法分子眼中的目标。当...

sp42
2016/07/30
0
0
学习笔记之CSRF初级篇

什么是CSRF CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),...

董小洋
2017/10/17
0
0
web安全:什么是 XSS 和 CSRF

在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。 XSS (Cross Site Script) 跨站脚本攻击 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,...

Shellming
05/30
0
0
Cookie-Form型CSRF防御机制的不足与反思

Cookie-Form型CSRF防御机制的不足与反思 离别歌2016-09-2650 阅读 cookieformcsrf 今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮,另外让我联想到很多之前自己挖过的漏...

离别歌
2016/09/26
0
0
XSS,CSRF防范 也是慢慢更

xss攻击两种 reflected 和stored 如xss可以获取用户的cookie <script>alert(document.cookie)</script> csrf可以跨站请求修改删除用户信息 防御措施: 1.一般的XSS脚本 2.安全函数 如php的 ...

just_wkj
2015/12/30
91
0

没有更多内容

加载失败,请刷新页面

加载更多

Spark Streaming的优化之路——从Receiver到Direct模式

          作者:个推数据研发工程师 学长 1 业务背景 随着大数据的快速发展,业务场景越来越复杂,离线式的批处理框架MapReduce已经不能满足业务,大量的场景需要实时的数据处理结果来...

个推
今天
3
0
壮丽70年·奋斗新时代|蒸妙集团熏蒸中会阴熏蒸的神奇好处

聚结相合之处为会。会阴居两阴间,为督、任、冲三脉的起点,三脉背出两阴之间,会聚阴部,因名会阴。会阴,经穴名。出《针灸甲乙经》。会阴别名屏翳、下极、金门。属任脉。在会阴部,男性当阴...

公益传承
今天
2
0
pentaho-kettle-8.2.0.0-R源码开发环境搭建

1.从Kettle官网下载源码,本文使用的是pentaho-kettle-8.2.0.0-R 下载地址:https://codeload.github.com/pentaho/pentaho-kettle/zip/8.2.0.0-R 2.打开eclipse,选择一个新的工作空间,然后设...

gq_2010
今天
1
0
lua web快速开发指南(7) - 高效的接口调用 - httpc库

httpc库基于cf框架都内部实现的socket编写的http client库. httpc库内置SSL支持, 在不使用代理的情况下就可以请求第三方接口. httpc支持header、args、body、timeout请求设置, 完美支持各种h...

水果糖的小铺子
今天
5
0
通过四道常问面试题,带你了解什么是数据库分库分表

编者语:为了避免被误解为:「手里有把锤子,看什么都是钉子!」,说明一下不是什么业务都适合分布式数据库,更不是用了分布式数据库性能就一定能得到扩展。 其次:本文为纯干货,建议先转发...

老道士
今天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部