add by zhj: 在看Django开发的应用时,看到了CSRF,然后搜到了这篇文章,讲的不错。其实CSRF 攻击也蛮简单的。当你登陆网站A后,会在本地存有cookie,在cookie没有过期的情况下,你又去访问 网站B,而网站B的js中包含发给A的http请求(即http的域名是A),因为这个 ...
分类:
其他好文 时间:
2019-11-01 14:42:23
阅读次数:
63
JMETER + POST + anti-forgery token Looking into XSRF/CSRF Prevention in ASP.NET MVC and Web Pages it appears that you're either sending an incorrect _ ...
分类:
其他好文 时间:
2019-10-31 10:30:38
阅读次数:
142
跨站请求伪造(csrf) 钓鱼网站 ? 就类似于你搭建了一个跟银行一模一样的web页面 ? 用户在你的网站转账的时候输入用户名 密码 对方账户 ? 银行里面的钱确实少了 但是发现收款人变了 最简单的原理 1. 你写的form表单中 用户的用户名 密码都会真实的提交给银行后台 2. 但是收款人的账户却 ...
分类:
其他好文 时间:
2019-10-31 00:21:48
阅读次数:
109
cookie / session / django中间件 / 跨站请求伪造(csrf) ...
分类:
其他好文 时间:
2019-10-30 23:01:46
阅读次数:
137
[TOC] Django杂篇(2) 本文主要介绍cookie与session组件,django中间件以及CSRF的一些介绍. cookie与session 首先我们要知道,HTTP协议本身是无状态的,无状态的概念是什么? 无状态的意思就是当用户的请求通过HTTP发给后端的时候,HTTP本身是不保留用 ...
分类:
其他好文 时间:
2019-10-30 19:56:51
阅读次数:
84
我们在工作中时常遇到系统接口安全性的问题,包括:XSS防护、CSRF防护、防止接口重放、接口参数使用签名等方式来提升系统的安全性;
分类:
其他好文 时间:
2019-10-29 00:20:12
阅读次数:
211
一 、认证方法比较 1.认证规则图 drf 前后端分离 禁用csrf 2. 认证规则演变图 3. 认证比较 二、JWT认证 1.优点与格式 2. drf-jwt插件安装使用 官网稍微难用,可以选择不同语言不同版本的jwt,官网也已经推出了使用文档 相当于一个模块,只需要下载导入就可使用,不需要注册, ...
分类:
其他好文 时间:
2019-10-28 19:20:08
阅读次数:
108
1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他 ...
分类:
Web程序 时间:
2019-10-27 10:28:40
阅读次数:
131
http本身无状态,说白了就是不保存任何用户信息。 所以引入cookie(客户端方案)、session(服务端方案)来保存用户信息: 这些信息通常包括什么,不能包括什么呢? : 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)4 登录凭证, 权限 ? ...
分类:
其他好文 时间:
2019-10-26 13:24:44
阅读次数:
305
Django之视图层 视图函数 视图函数,简称视图,属于Django的视图层,默认定义在views.py文件中,是用来 处理web请求信息以及返回响应信息的函数,所以研究视图函数只需熟练掌握两个 对象即可:请求对象(HttpRequest)和响应对象(HttpResponse) 请求对象(HttpR ...
分类:
其他好文 时间:
2019-10-23 23:57:18
阅读次数:
143
