摘要:
JSP禁用缓存的方式 使用服务器端控制AJAX页面缓存: response.setHeader( "Pragma", "no-cache" ); response.addHeader( "Cache-Control", "must-revalidate" ); response.addHeader( 阅读全文
posted @ 2018-01-18 12:46
有梦就能实现
阅读(1178)
评论(0)
推荐(0)
摘要:
上一篇给大家介绍了SpringMVC中常见的客户端数据输入点,这一篇给大家讲解下java中常见漏洞的防御方法。 0x01.sql注入 下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。 函数save使用的是绑定变量的形式很好的防止了s 阅读全文
posted @ 2018-01-18 11:56
有梦就能实现
阅读(1779)
评论(0)
推荐(0)
摘要:
(一)Mybatis注入问题 Mybatis是目前比较常用的ORM的框架,一般与SpringMVC框架整合较多,但使用不当会有SQL注入的风险。 Mybatis里mapper中SQL语句的写法支持两种形式的占位符,一种是#{value}一种是${value}. 使用#进行占位时,如: <select 阅读全文
posted @ 2018-01-18 11:54
有梦就能实现
阅读(2235)
评论(0)
推荐(0)
摘要:
对于某些敏感的系统例如支付、交易需要为其加固,有必要将可能的攻击情况考虑进来加以防范,于是有了这么一个简易的安全框架。在前辈的代码上( 详见 :http://blog.csdn.net/zhongweijian/article/details/8680737)我大幅度重构,更好地理解 Java We 阅读全文
posted @ 2018-01-18 11:48
有梦就能实现
阅读(398)
评论(1)
推荐(0)
摘要:
我们写了一个web应用,打成war包后,就需要找一个server来部署.对于我们的实际应用,我们基本没必要自己再写一个嵌入式的server.接下来两篇文章只是以钻研的心态来学习一下嵌入式tomcat和jetty. 促使我去写这篇文章是因为在我看来,gretty不完美,无论用tomcat还是jetty 阅读全文
posted @ 2018-01-18 11:28
有梦就能实现
阅读(886)
评论(0)
推荐(0)
摘要:
昨天在网上研究了下关于将tomcat嵌入到主程序中进行运行,而不是像以前将一个web项目copy到tomcat中进行运行。之所以这样做的原因,即是因为项目部署到客户方,在进行更新的时候,需要手动地进行更新,再把相应代码copy到tomcat,然后再运行。运用embeded tomcat就可以将项目与 阅读全文
posted @ 2018-01-18 11:27
有梦就能实现
阅读(520)
评论(0)
推荐(0)
摘要:
0×00. 引言 我曾做过一个调查,看看网友们对关于X-XSS-Protection 字段的设置中,哪一个设置是最差的,调查结果令我非常吃惊,故有此文。 网友们认为 最差的配置是X-XSS-Protection: 0,其次是 X-XSS-Protection: 1; mode=block, 反而X- 阅读全文
posted @ 2018-01-18 11:04
有梦就能实现
阅读(1876)
评论(0)
推荐(1)
摘要:
前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天测试环境的某个重要配项被改错了,于是Jackie想当然的归类为配置项错误引入的问题。但修改完测试环境的配置项后,测试反馈富文本编辑器内图片无法呈现的现象依然存在。 这下 阅读全文
posted @ 2018-01-18 10:59
有梦就能实现
阅读(4099)
评论(0)
推荐(0)
摘要:
注意: CSP Level 2 规范中的 frame-ancestors 指令会替代这个非标准的 header。CSP 的 frame-ancestors 会在 Gecko 4.0 中支持,但是并不会被所有浏览器支持。然而 X-Frame-Options 是个已广泛支持的非官方标准,可以和 CSP 阅读全文
posted @ 2018-01-18 10:53
有梦就能实现
阅读(535)
评论(0)
推荐(0)
摘要:
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 作用 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入ht 阅读全文
posted @ 2018-01-18 10:49
有梦就能实现
阅读(4147)
评论(0)
推荐(0)
摘要:
为什么我们要使用HTTP Strict Transport Security? wenjian_tk0 2015-05-11 共430809人围观 ,发现 5 个不明物体 WEB安全网络安全 &amp;lt;img src="http://image.3001.net/images/2015 阅读全文
posted @ 2018-01-18 10:47
有梦就能实现
阅读(1171)
评论(0)
推荐(0)
摘要:
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少跨框架脚本保护。跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可 阅读全文
posted @ 2018-01-18 10:01
有梦就能实现
阅读(4272)
评论(0)
推荐(0)
摘要:
攻击原理: CFS攻击(Cross Frame Script(跨框架脚本)攻击)是利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码 中加入scirpt,监视、盗取用户输入。 Clickjacking(点击劫持) 则是是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可 阅读全文
posted @ 2018-01-18 10:00
有梦就能实现
阅读(2583)
评论(0)
推荐(0)
浙公网安备 33010602011771号