在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用...
分类:
其他好文 时间:
2015-03-15 12:23:44
阅读次数:
184
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的...
分类:
其他好文 时间:
2015-03-10 18:54:32
阅读次数:
104
新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/在线幻灯片地址: Cookie & Session & CSRF...
分类:
其他好文 时间:
2015-03-09 20:57:55
阅读次数:
112
处理过程1、按提示及google结果修改setting.py,在MIDDLEWARE_CLASSES增加django.middleware.csrf.CsrfResponseMiddleware。结果依然报错。2、继续修改setting.py,注释掉django.middleware.csrf.Cs...
分类:
其他好文 时间:
2015-03-08 22:47:28
阅读次数:
199
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。那么,Token有什么作用?又是什么原理呢?Token一般用在两个地方——防止表单重复提交、anti csrf攻击(跨站点请求伪造)。两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会...
分类:
Web程序 时间:
2015-02-12 18:00:35
阅读次数:
322
http://fex.baidu.com/articles/page2/Web 前端攻防(2014版)zjcqoo | 20 Jun 2014禁止一切外链资源外链会产生站外请求,因此可以被利用实施 CSRF 攻击。目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号。通过外链...
分类:
Web程序 时间:
2015-02-10 12:53:43
阅读次数:
148
我们常说的网络安全其实应该包括以下三方面的安全:1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。3、可用性,比如我们的网络服务是否...
分类:
其他好文 时间:
2015-02-06 12:48:46
阅读次数:
226
最近学习了extjs.练习了extjs和django后台交互涉及的ajax,cookie,csrf token等相关例子。完整实现存放在github.
点击打开链接...
分类:
Web程序 时间:
2015-02-04 21:54:13
阅读次数:
260
django程序,需要写很多api,每个函数都需要几个装饰器,例如
@csrf_exempt
@require_POST
def foo(request):
pass
既然那么多个方法都需要写2个装饰器,或者多个,有啥办法把多个合并成一行呢?
上面的函数执行过程应该是
csrf_exempt(require_POST(foo))
修改成
def compose(*...
分类:
编程语言 时间:
2015-01-30 17:46:10
阅读次数:
156
add by zhj:其实我个人推荐前端不要将数据放在cookie中,而是放在其它本地存储(HTML5中称之为Web Storage),本地存储与cookie的一个重要区别在于:本地数据不会自动加在http请求中。这样也就不会有CSRF了。假设用户登录了网站A,而在网站B中有一个CSRF攻击标签,点...
分类:
其他好文 时间:
2015-01-30 17:36:26
阅读次数:
303