安全基礎總結
安全基礎總結
@Date 2016.06.02
XSS(跨站指令碼攻擊)
- 反射型 :
- 非持久化
- 互動性
- 欺騙使用者自己去點選連結才能觸發XSS程式碼
- 儲存型 :
- 持久化
- 程式碼是儲存在伺服器中(文字框,留言裡輸入Script指令碼)
- 盜竊使用者Cookie
- DOM型 :
- 改變頁面HTML結構
- 防禦
- 過濾特殊字元
- 進行Html實體編碼(轉義)
- 字串不能原樣輸出到前端
- 注意
- http-only不是萬能的
- content-type不是萬能的(ie6)
- request中的欄位都是有害的
CSRF(跨站請求偽造)
- 誘導使用者瀏覽器傳送攻擊者的指令
- 流程
- 使用者請求正常網站A -> 產生網上A的cookie -> 使用者請求惡意網站B -> 網站B要求使用者請求A並進行操作 -> 後臺帶著cookie進行網站A的操作
- 防禦
- 驗證碼
- Token
- 隨機數
- 驗證referer和csrf引數
相關文章
- JavaScript基礎總結JavaScript
- VUE基礎總結Vue
- MongoDB基礎總結MongoDB
- 機器學習基礎總結機器學習
- 【HTML——基礎總結】HTML
- 【總結】Javascript基礎JavaScript
- Java基礎總結Java
- jQuery基礎總結jQuery
- Linux基礎優化與安全歸納總結Linux優化
- 連結串列基礎總結
- JavaScript基礎總結(三)——陣列總結JavaScript陣列
- 最全JavaScript基礎總結JavaScript
- 【Python】基礎總結Python
- JavaScript基礎總結(二)JavaScript
- 最全Drawable基礎總結
- html基礎總結版HTML
- java基礎總結一Java
- C++基礎總結C++
- 【多執行緒總結(一)-基礎總結】執行緒
- 【網路安全基礎】常見的Web安全攻防知識點總結!Web
- 關於vue基礎總結Vue
- 前端基礎 — Web事件總結前端Web事件
- 9Java基礎總結Java
- JVM 基礎面試題總結JVM面試題
- hive基礎總結(面試常用)Hive面試
- Java基礎知識總結Java
- React 基礎知識總結React
- css佈局基礎總結CSS
- iOS 動畫基礎總結篇iOS動畫
- java集合框架基礎總結Java框架
- 索引基礎知識總結索引
- Vue.js基礎總結Vue.js
- java基礎註釋總結Java
- NODE基礎總結(2) —— Module
- NODE基礎總結(1) —— EventloopOOP
- MySql基礎知識總結MySql
- java基礎題目總結Java
- php基礎知識總結PHP