• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录

竹千代

  • 博客园
  • 联系
  • 订阅
  • 管理

公告

View Post

Web安全

一、XSS

本质上,就是针对html代码,进行了注入

1、反射型

    把用户的输入,直接放到了html页面上面。比如把input的输入,绑定到span中。

2、存储型

    把用户的输入,存储到数据库中; 后再传到前端页面展示。

 

防御方法:

1、输入长度限制    构造xss攻击,需要拼接额外字符,一般比较长

2、输入限制           有时候可以禁止一些特殊字符, < > 等

3、输出转义           默认输出转义Escape

https://mp.weixin.qq.com/s?__biz=MjM5NjQ5MTI5OA==&mid=2651748921&idx=2&sn=04ee8977545923ad9b485ba236d7a126&chksm=bd12a3748a652a628ecb841f78e00ccf5eb002117236e18a7d947ae824c2cc75841c1f7c0455&scene=21#wechat_redirect

 

二、CSRF

黑客在本域名之外的站点,巧妙借用了本域名的cookie,从而伪造了请求

1、敏感请求由GET转成POST

2、Token

https://zhuanlan.zhihu.com/p/46592479?utm_source=wechat_session&utm_medium=social&from=singlemessage

 

三、DDos

 

posted on 2018-07-08 08:29  竹千代  阅读(118)  评论(0)    收藏  举报

刷新页面返回顶部
 
博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3