标签:过滤 referer 漏洞 二次 添加 token 验证 替换 http
xss -- 跨站脚本攻击
防御XSS攻击:
(1)输入过滤替换
(2)输出过滤替换
(3)设置httpOnly 锁死 cookie
csrf -- 跨站请求伪造
防御CSRF攻击:
(1)验证 HTTP Referer 字段
(2)在请求地址中添加 token 并验证
(3)在 HTTP 头中自定义属性并验证
文件上传漏洞
(1)检查服务器是否判断了上传文件类型及后缀
(2)定义上传文件类型白名单,即只允许白名单里面类型的文件上传
(3)文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击
标签:过滤 referer 漏洞 二次 添加 token 验证 替换 http
原文地址:https://www.cnblogs.com/crazycode2/p/14748287.html
