安全基礎總結
安全基礎總結
@Date 2016.06.02
XSS(跨站指令碼攻擊)
- 反射型 :
- 非持久化
- 互動性
- 欺騙使用者自己去點選連結才能觸發XSS程式碼
- 儲存型 :
- 持久化
- 程式碼是儲存在伺服器中(文字框,留言裡輸入Script指令碼)
- 盜竊使用者Cookie
- DOM型 :
- 改變頁面HTML結構
- 防禦
- 過濾特殊字元
- 進行Html實體編碼(轉義)
- 字串不能原樣輸出到前端
- 注意
- http-only不是萬能的
- content-type不是萬能的(ie6)
- request中的欄位都是有害的
CSRF(跨站請求偽造)
- 誘導使用者瀏覽器傳送攻擊者的指令
- 流程
- 使用者請求正常網站A -> 產生網上A的cookie -> 使用者請求惡意網站B -> 網站B要求使用者請求A並進行操作 -> 後臺帶著cookie進行網站A的操作
- 防禦
- 驗證碼
- Token
- 隨機數
- 驗證referer和csrf引數
相關文章
- Linux基礎優化與安全歸納總結Linux優化
- VUE基礎總結Vue
- jQuery基礎總結jQuery
- 【Python】基礎總結Python
- MongoDB基礎總結MongoDB
- JavaScript基礎總結JavaScript
- 連結串列基礎總結
- JavaScript基礎總結(三)——陣列總結JavaScript陣列
- JavaScript基礎總結(二)JavaScript
- 最全Drawable基礎總結
- 最全JavaScript基礎總結JavaScript
- C++基礎總結C++
- 【多執行緒總結(一)-基礎總結】執行緒
- 【網路安全基礎】常見的Web安全攻防知識點總結!Web
- Java基礎知識總結Java
- React 基礎知識總結React
- 關於vue基礎總結Vue
- css佈局基礎總結CSS
- java集合框架基礎總結Java框架
- SpringIOC基礎知識總結Spring
- Vue.js基礎總結Vue.js
- android混淆總結(基礎版)Android
- Rust 基礎知識總結Rust
- NODE基礎總結(2) —— Module
- NODE基礎總結(1) —— EventloopOOP
- 9Java基礎總結Java
- 前端基礎 — Web事件總結前端Web事件
- 索引基礎知識總結索引
- Java基礎知識點總結Java
- spark 基礎開發 Tips總結Spark
- JS基礎知識深入總結JS
- Node.js Streams 基礎總結Node.js
- 學習canvas基礎的總結Canvas
- 演算法基礎 --- 日常總結演算法
- iOS 動畫基礎總結篇iOS動畫
- TCP/IP 基礎知識總結TCP
- 我的html基礎總結—1HTML
- Kotlin 基礎學習總結(一)Kotlin