XSS,CSRF防范 也是慢慢更
2015-12-30 00:00
162 查看
摘要: XSS跨站脚本攻击常见以及防范措施
CSRF跨站伪造请求
xss攻击两种 reflected 和stored
如xss可以获取用户的cookie
csrf可以跨站请求修改删除用户信息
防御措施:
1.一般的XSS脚本
2.安全函数 如php的 htmlspecialchars stripslashes
htmlspecialchars 转义&,‘,",<,>
CSRF防御
1.referer验证,但不可靠可以伪造
2.设置token
$csrf = md5(uniqid(rand(), TRUE));
$_SESSION['csrf'] = $csrf;//防刷机制第二弹~~~~~~~~
CSRF跨站伪造请求
xss攻击两种 reflected 和stored
如xss可以获取用户的cookie
<script>alert(document.cookie)</script>
csrf可以跨站请求修改删除用户信息
防御措施:
1.一般的XSS脚本
2.安全函数 如php的 htmlspecialchars stripslashes
htmlspecialchars 转义&,‘,",<,>
CSRF防御
1.referer验证,但不可靠可以伪造
2.设置token
$csrf = md5(uniqid(rand(), TRUE));
$_SESSION['csrf'] = $csrf;//防刷机制第二弹~~~~~~~~
相关文章推荐
- Keymob浅析:移动广告程序化购买新方向,DSPAN着力解决市场痛点!
- Keymob:移动端广告具有更高价值
- 浅析:要做APP的需求客户需要了解哪些情况?
- crontab相关命令及表达式 (Linux系统定时任务)
- linux中crontable的用法 附件二
- 用sched来定时执行任务
- Linux 下安装python软件包(pip、nose、virtualenv、distribute
- APScheduler(Advance Python Scheduler) ImportError:
- apscheduler cron 表达式
- Maven 项目打包需要注意到的那点事儿
- Mapping and metadata information could not be foun
- JavaScript的对象、this、类和prototype
- 运维规范:禁止使用hostname命令去查看主机名
- 什么叫做Oracle RAC中的nodename
- 浪潮Inspur K-UX操作系统的截图
- 对象类型在内存中的分配
- 【翻译自mos文章】Linux 操作系统下的内存使用
- 安装完操作系统之后,linux 启动失败,报错为"Invalid magic number 0 error 13: invalid or unsupported executable form...
- 关于RHEL的CVE和Oracle Linux的CVE
- red hat官方的rhel操作系统版本号与内核版本号的对应关系