使用Cookie的 SameSite 属性. 1. SameSite=Strict; 这个模式下, 服务器将会完全禁止第三方Cookie, 在跨站点时, 任何情况下都不会发送Cookie, 也就是说, 只有当前页面URL 符合Cookie设置的Domain和Path要求时才会被带上. 2. Same ...
分类:
其他好文 时间:
2019-09-22 15:00:17
阅读次数:
145
由于工作等种种原因未能连续进行学习,现在继续学习微服务,不过是新建的demo,springcloud版本用的是Finchley.SR2。 之前用简单demo实现了注册中心,现在来对注册中心加安全验证: 一、添加依赖 二、修改配置文件 设置安全认证的用户名跟密码: 修改eureka访问url 三、重启 ...
分类:
编程语言 时间:
2019-09-12 13:34:23
阅读次数:
109
csrf 是跨站点伪造请求,主要利用发请求,浏览器每次都会自动带上 cookie 这个特点。 下面我们看看例子: 例子一: 如果博客园有一个关注博主的api是get请求的话,那这里我新建一个恶意页面: 在访问这个页面那一瞬,img就会跨域get请求这个api,你不知不觉间同时也像博客园这个接口发送了 ...
分类:
其他好文 时间:
2019-09-04 09:52:01
阅读次数:
63
csrf: Cross Site Request Forgery, 跨站请求伪造 什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点请求伪造。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网 ...
分类:
其他好文 时间:
2019-07-18 19:43:06
阅读次数:
74
1.由于Razor Pages自带提供防伪令牌/验证,用来防止跨站点请求伪造(称为XSRF或CSRF),所以和MVC框架中API使用方式有稍许的不同。 2.所以在我们使用Razor Pages中的form表单提交数据时,框架会自动帮我们生成一个隐藏的Input,并在我们提交表单时加入在请求报文头中。 ...
分类:
Web程序 时间:
2019-06-06 16:06:30
阅读次数:
158
什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF 跨站点请求伪造。 浏览器Cookie策略 cooki ...
分类:
其他好文 时间:
2019-05-26 17:44:50
阅读次数:
121
在我们日常网购或者网上交易时,为防止信息泄露,所以在WEB的安全测试中需要考虑以下情形 (1)数据加密;(2)登录或身份验证;(3)输入验证;(4)SQL注入;(5)超时限制;(6)目录;(7)操作痕迹 其中有一个跨站点攻击XSS,它指的是恶意攻击者往Web页面里插入恶意的html代码,当用户浏览页 ...
分类:
其他好文 时间:
2019-05-24 01:10:20
阅读次数:
155
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://medium.com/bugbountywriteup/how-to-write-secure-code-b2757b59cd4b 如何编写安全代码?保护自己免受跨站点脚本攻击! 过去几个月我一直致力于安全代码 ...
分类:
其他好文 时间:
2019-04-09 14:00:40
阅读次数:
214
来源:https://blog.it securityguard.com/bugbounty sleeping stored google xss awakens a 5000 bounty/ 理解 这篇文章主要是介绍了Google云端控制台上发现的存储型跨站点脚本(XSS)问题。 Google提供 ...
分类:
其他好文 时间:
2019-02-14 00:17:45
阅读次数:
176
