XSS 跨站点脚本攻击 用户输入的 validation, 注意请求中的嵌入式脚本 HttpOnly 注入攻击 用户输入的 validation, 参数提前绑定(利用绑定变量 等) CSRF 攻击 (跨站点请求伪造) 攻击者通过跨站请求,以合法用户的身份进行非法操作. 表单 Token, 验证码, ...
分类:
其他好文 时间:
2020-04-13 00:48:43
阅读次数:
76
学习总结客户端安全的相关要素,包括浏览器安全,跨站脚本攻击(XSS),跨站点请求伪造(CSRF),点击劫持(Clickjacking),HTML5安全等。 ...
分类:
其他好文 时间:
2020-04-12 14:36:21
阅读次数:
104
为何要用https? http协议的缺点 通信使用明文,内容可能被窃听(重要密码泄露) 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造) 无法证明报文的完整性,有可能已遭篡改(运营商劫持) 用https能解决这些问题么? https是在http协议基础上加入加密处理和认证机制以及完整性保护,即ht ...
分类:
Web程序 时间:
2020-03-10 01:14:49
阅读次数:
86
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2020-02-29 12:49:47
阅读次数:
59
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2020-01-09 13:33:04
阅读次数:
80
什么是csrf(跨站请求伪造) 伪造请求的定义有很多种,我将不是用户本意发出的请求统称为伪造请求(在用户不知情的情况下执行某些操作)xss的通过用户对浏览器的信任造成的,csrf是通过服务器对浏览器的信任造成的 csrf的原理及过程: 假设有a用户和b网站c网站 c网站为恶意网站 a用户正常登录b网 ...
分类:
其他好文 时间:
2020-01-01 15:19:52
阅读次数:
89
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。 通过 ...
分类:
Web程序 时间:
2019-11-30 09:58:01
阅读次数:
101
pythonjenkins打包构建代码#pipinstallpython-jenkinsimportjenkinsimportpprintimporttime#在jenkins的ConfigureGlobalSecurity下,取消“防止跨站点请求伪造(PreventCrossSiteRequestForgeryexploits)”的勾选server=jenkins.Jenkins(‘http:/
分类:
编程语言 时间:
2019-11-29 09:19:29
阅读次数:
101
csrf: Cross Site Request Forgery, 跨站请求伪造 什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点请求伪造。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网 ...
分类:
其他好文 时间:
2019-11-24 15:40:51
阅读次数:
64
了解什么是scrf? SCRF跨站点请求伪造Cross—Site Request Forgery) 指恶意用户通过个人用户的点击,然而盗用用户的账号信息,并发送邮件、虚拟货币的转账,以及一些重要的事务, 造成财产损失和隐私泄露。 scrf的攻击示意图(过程) flask-wtf防护 在 Flask ...
分类:
其他好文 时间:
2019-11-09 19:58:25
阅读次数:
73