一、背景 CSRF是一种常见的跨站伪造请求攻击,它通过伪造真实用户的请求,来欺骗服务器以实现非法操作的目的。相比于xss攻击,它无法读取到用户的cookie等隐私信息,但可以在规则之内做一些用户未感知的危险操作。 二、原理 它利用浏览器无法区分请求是否是用户真实操作的特点,来自动向被攻击服务发送请求 ...
分类:
其他好文 时间:
2020-07-26 19:21:30
阅读次数:
81
此关联数组包含$_GET和$_POST以及$_COOKIE中的全部内容。倘若表单中有一个输入域名的名称为 name="address",表单是通过 POST 方法提交的,则 address 文本输入框中的数据存在$_POST[“address”]中;倘若表单是通过 GET 方法提交的,数据将保存在$ ...
分类:
其他好文 时间:
2020-07-26 19:11:44
阅读次数:
57
web框架推导 django框架初识 django静态文件配置 & request对象 django与mysql数据库基本操作 django请求生命周期流程 django路由层 django版本区别 django视图层 模版语法 django模型层 AJax form组件 cookie & sess ...
分类:
其他好文 时间:
2020-07-26 19:07:13
阅读次数:
60
一、背景 在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。 二、原理 xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。 通常我们访问一个安全的网 ...
分类:
其他好文 时间:
2020-07-26 15:56:23
阅读次数:
73
三个阶段 1. 加载阶段; (1) 减少关键资源的个数(合并文件,CSS精灵,base64、懒加载); (2) 降低关键资源的大小(减少cookie的传输、开启gzip压缩、webpack打包压缩); (3) 降低关键资源的RTT(往返延时)次数(DNS预解析、使用HTTP2、HTTP缓存、CDN、 ...
分类:
Web程序 时间:
2020-07-26 01:54:23
阅读次数:
102
0、引言若不清楚什么是JWT的请先了解下什么是JWT。 1、关于Authentication与Authorization我相信在aspnet core中刚接触甚至用了段时间这两个概念的时候都是一头雾水的,傻傻分不清。认证(Authentication)和授权(Authorization)在概念上比较 ...
分类:
Web程序 时间:
2020-07-26 01:11:01
阅读次数:
84
$ancient_browser 如果浏览器被识别为旧式浏览器,该值等于 ancient_browser_value 的值 $arg_{name} 请求中某个参数值 $args 请求url里的参数 $binary_remote_addr (ngx_http_core_module,ngx_strea ...
分类:
其他好文 时间:
2020-07-26 00:44:12
阅读次数:
114
一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿 ...
分类:
其他好文 时间:
2020-07-26 00:10:32
阅读次数:
94
一、背景 cookie作为浏览器端存储客户相关信息的重要载体,在为我们开发提供方便的同时,也埋下了一些安全隐患。如果在使用过程中不注意,就有可能被图谋不轨者利用起来,造成安全事故。 二、cookie的同源策略 浏览器每次发送请求时,会根据请求的地址,来判断自身是否存储了符合同源策略的cookie,如 ...
分类:
其他好文 时间:
2020-07-25 23:44:49
阅读次数:
67
SSO单点登入流程 用户登入后, 通过JWT将通过一定规则生成一个token, 不建议将重要信息放入token中, 一般存放唯一标识符 这里为什么不在登入后就将用户信息存放入cookie中是因为, cookie存放信息不安全 将token存入Cookie中 创建拦截器, 拦截所有请求, 在请求前判断 ...
分类:
其他好文 时间:
2020-07-24 22:10:15
阅读次数:
88
