所有route被定义在app/Http/routes.php文件中,文件里包含最基础的route和group。默认的group是提供Web中间件的group。只有Web中间件内的Group才可以访问session以及CSRF保护。 Router允许注册的route类型包括: 如果需要同时满足多种请求
分类:
其他好文 时间:
2016-03-13 17:27:17
阅读次数:
169
在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证,使用Yii表单生成页面的时候,如果表单的提交方式为POST,是都会在页面中添加一个隐藏字段: <div style="display:none"> <input type="hidden" value="a429b6c0f4468db23
分类:
Web程序 时间:
2016-03-12 17:15:36
阅读次数:
719
首先在user.php文件中去除黑名单的第一行标签,在白名单中添加<script>E1:csrf攻击zoobarcsrf:cross-site request forgery 跨站伪造请求普通用户登录myzoo网站后,在未退出的状态下,浏览了attack/csrf网站该网站伪造了一份myzoo网站的
分类:
Web程序 时间:
2016-03-07 20:57:37
阅读次数:
447
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery)定义: 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击),为了与层叠样式表(Cascading Style Sh
分类:
其他好文 时间:
2016-03-04 14:30:55
阅读次数:
193
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园
分类:
Web程序 时间:
2016-03-02 00:11:01
阅读次数:
187
[转]MVC Html.AntiForgeryToken() 防止CSRF攻击 本文转自:http://blog.csdn.net/luck901229/article/details/8261640 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:
分类:
Web程序 时间:
2016-02-29 15:59:30
阅读次数:
154
<html><body><form action="http://www.xxx.com/user/setting/email_bind.html" method="post"><input type="hiden" name="new_email" value="xxx@163.com" /></
分类:
其他好文 时间:
2016-02-29 00:14:48
阅读次数:
154
最近学习web安全问题总结如下: 一、跨站脚本攻击(xss) 向web页面插入恶意代码,主要为涉及到用户输入的地方。 永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。 二、跨站点请求伪造(CSRF) 伪造连接请求,在用户不知道的情况下一用户的身份发送请求。 注意点:用token或者
分类:
Web程序 时间:
2016-02-28 22:43:09
阅读次数:
163
. 什么是跨站请求伪造(CSRF) CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
分类:
其他好文 时间:
2016-02-26 16:44:09
阅读次数:
165
一时兴起,看了多篇关于黑黑的技术博文,感觉受益匪浅 1、getshell 提权 2、xss 跨站脚本攻击 3、csrf 跨站请求伪造 4、脱裤 入侵网站,然后下载数据库 具体是什么请自行脑补或着问度娘。。。
分类:
其他好文 时间:
2016-02-26 11:48:25
阅读次数:
167
