javaweb-cs应用交互安全

标签：伪造   序列化   对象   安全   session   data   建立   目录   stp   

　　　　　　　　　　　　　　　　javaweb-cs应用交互安全

修改请求头验证xss

　　Tamper Data修改请求头

　　moify Headers自定义的修改headers:自定义要修改的headers部分，然后save.然后点击start状态

修改请求头的作用是某些业务逻辑下需要去记录用户的请求头信息到数据库，通过伪造请求头到数据库就可能造成xss和注入漏洞

 　　通过java代码修改请求头 ： 设置setRequestProperty

session

　　session声明周期

 1.session默认过期时间为30min,最大时间为1天

2.服务器重启或者关闭session失效

浏览器关闭后session并不会失效，只是浏览器关闭回去记忆关闭前客户端和服务端之间的session信息。因为没有缓存到cookie中，重新打开浏览器后不会带着关闭前sessionid去访问服务器url

当关闭tomcat服务器时，tomcat会在安装目录workCatalinalocalhost项目名下建立session.ser文件，此文件就是session持久化到硬盘中的文件。tomcat重新启动后session.ser会被重新反序列化到内存中，启动后此文件会消失，不过前提是session的对象是可以被序列化的

盗取sessionid的攻击叫做sessionfixation攻击

防范方法：session会话加ip控制，增加tooken验证

javaweb-cs应用交互安全

标签：伪造   序列化   对象   安全   session   data   建立   目录   stp   

原文地址：http://www.cnblogs.com/cangqing/p/7639326.html