摘要:
HttpOnly标识是一个可选的、避免利用XSS(Cross-Site Scripting)来获取session cookie的标识。XSS攻击最常见一个的目标是通过获取的session cookie来劫持受害者的session;使用HttpOnly标识是一种很有用的保护机制。可以人工设置这些参数,如果在Servlet3或者更新的环境,tomcat7中开发,只需要在web.xml简单的配置就能实现这种效果。你要在web.xml中添加如下片段: true 而且如果使用了secure标识,配置应该如下 true true 阅读全文
posted @ 2014-02-26 14:45
李小加
阅读(2707)
评论(0)
推荐(0)
摘要:
1. 防堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细检查长度和对””,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把html tag 弄出来。这一个层面做好,至少可以堵住超过一半的XSS 攻击。2. Cookie 防盗首先避免直接在cookie 中泄露用户隐私,例如email、密码等等。其次通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值,不可能拿来重放。3. 尽量采用POST 而非GET 提交表单POST 阅读全文
posted @ 2014-02-26 14:21
李小加
阅读(7682)
评论(0)
推荐(0)
浙公网安备 33010602011771号