XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从 ...
分类:
Web程序 时间:
2019-12-20 01:10:33
阅读次数:
116
CSQF 跨站请求伪造(英語:Cross-site request forgery),也被称为one-click attack 或者session riding,通常缩写为CSRF 或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 CSV 逗号分隔值(Comm ...
分类:
其他好文 时间:
2019-12-18 14:38:39
阅读次数:
82
概述: CSRF(跨站请求伪造)概述Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 ...
分类:
其他好文 时间:
2019-12-18 13:12:32
阅读次数:
170
解决办法:引入csrf_exempt包: from django.views.decorators.csrf import csrf_exempt 然后增加装饰器: @csrf_exempt def register(request): request.encoding='utf-8' if req ...
分类:
其他好文 时间:
2019-12-17 13:26:56
阅读次数:
123
CSRF(cross site request forgery) 跨站请求伪造,CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户 ...
分类:
其他好文 时间:
2019-12-12 23:53:17
阅读次数:
96
CSRF令牌失效或丢失,Ajax请求页面报错(403 Forbidden ) csrftoken存在 页面响应为CSRF验证失败请求被中断,经过测试,该错误并非是没有在表单中加入{% csrf_token%} 导致【试过】 刷新dns缓存依然无法解决该问题, 解决: 检查setting配置中 'dj ...
分类:
其他好文 时间:
2019-12-09 21:34:38
阅读次数:
103
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQ ...
分类:
其他好文 时间:
2019-12-09 01:36:43
阅读次数:
119
[TOC] 一、模拟实现中间件的编程思想 (一)impotlib模块 1. importlib模块可以通过字符串的形式导入模块 2. importlib模块也支持 的from···import类型 3. 最小单位只能到文件名,不能用来导入文件中的变量名 (二)实现功能的配置使用 1. 基于Djang ...
分类:
其他好文 时间:
2019-12-08 17:22:44
阅读次数:
118
一、xss 名词解释:xss指的是攻击者利用用户提交的数据没有就行过滤和转义处理的缺点,进而添加一些代码到web界面中去。利用了系统对用户的信任 危害:盗取各种账号,网站挂马,非法转账等。 造成原因:过于信任客户端提交的数据。 解决办法:对客户端提交过来的数据进行过滤,转义,正则校验。 举例: 有个 ...
分类:
数据库 时间:
2019-12-06 16:28:19
阅读次数:
130
[toc] 功能配置设计 实现类似于的django中settings.py中的中间件的字符串, 注释某个字符串, 使得相应的功能失效 模块 跨站请求伪造CSRF 什么是CSRF 什么是跨站请求伪造呢? 举一个简单的钓鱼网站的例子 我们对照着某银行的页面写一个一模一样的页面, 然后将用户 "钓" 到我 ...
分类:
其他好文 时间:
2019-12-06 10:02:55
阅读次数:
92
