摘要:
几乎所有的网站在开发过程中都在web.config文件中设置了特性<customErrors mode="off">。 customErrors模式有3个可选的设置项: on:服务器开发的最安全选项,因为它总是隐藏错误提示信息。 RemoteOnly:向大多数用户展示一般的错误提示信息,但向拥有服务 阅读全文
摘要:
开放重定向攻击的概念:那些通过请求(如查询字符串和表单数据)指定重定向URL的Web应用程序可能会被篡改,而把用户重定向到外部的恶意URL。 在执行重定向之前需先检查目标地址的有效性,可使用Url.IsLocalUrl()方法检测目标地址是否属于该站点,如果属于该站点,则继续执行重定向,如果不属于该 阅读全文
摘要:
模型绑定是ASP.NET MVC提供的强大功能,可遵照命名约定将输入元素映射到模型属性,从而极大地简化了处理用户输入的过程,然而,这也成为了攻击的另一种没接,给攻击者提供了一个填充模型属性的机会,右下时候填充的这些属性甚至都没有在输入表单中。 使用 [Bing] 特性防御重复提交攻击 1、可以使用B 阅读全文
摘要:
作为用户,为了防止cookie盗窃,可以在浏览器设置中选择“禁用cookie”,但是这样做很可能导致在访问某个站点的时候弹出警告“该站点必须使用cookie”. cookie主要有两种形式: 会话cookie: 存储在浏览器的内存中,在浏览器的每次请求中通过Http Header进行传递; 持久co 阅读全文
摘要:
CSRF的概念可以分为两类:XSS和混淆代理。 混淆代理中的“代理”是指用户的浏览器。CSRF是基于浏览器的工作方式运作的。用户登录到一个站点后,用户的信息将会存储在cookie中(会话cookie或者持久cookie),通过这两种cookie中的任何一种,浏览器会告诉站点这是一个真是用户发出的请求 阅读全文
摘要:
XSS攻击(跨站脚本攻击)的概念: 用户通过网站页面的输入框植入自己的脚本代码,来获取额外的信息。 XSS的实现方式: (1)通过用户将恶意的脚本命令输入到网站中,而这些网站又能够接收“不干净”用户输入,称为“被动注入”,用户把“不干净”的内容输入到文本框中,并把这些内容保存到数据库中,以后再重新在 阅读全文
摘要:
使用delete语句删除数据的一般语法格式: delete [from] {table_name、view_name} [where<search_condition>] 将XS表中的所有行数据删除 delete XS 执行完后,发现XS表中的数据都删除了,但是表的结构什么都还在。 truncate 阅读全文
摘要:
注:本文为个人学习摘录,原文地址:http://www.cnblogs.com/landeanfen/p/5177176.html 前言:上篇总结了下WebApi的接口测试工具的使用,这篇接着来看看WebAPI的另一个常见问题:跨域问题。本篇主要从实例的角度分享下CORS解决跨域问题一些细节。 一、 阅读全文
摘要:
摘要 在各种BS架构的应用程序中,往往都希望服务端能够主动地向客户端推送各种消息,以达到类似于邮件、消息、待办事项等通知。 往BS架构本身存在的问题就是,服务器一直采用的是一问一答的机制。这就意味着如果客户端不主动地向服务器发送消息,服务器就无法得知如何给客户端推送消息。 随着HTML、浏览器等各项 阅读全文
摘要:
只要你用过自动扶梯,你就能很快的理解CSS中的浮动(Float)。 你肯定遇到过这样的情况: 做好了,你想用CSS浮动来调整元素间的位置关系。 在写完代码之后,你发现浮动元素没出现在你设想的位置,而且像个磁铁一样紧紧的靠在div旁边。 为了理解浮动这个概念,我个人曾经花费了很长的时间。有一次,我读到 阅读全文