XSS cross-site scripting 跨站点脚本,为了避免与css冲突,命名为XSS。它是将恶意代码作为一个网页内容,这些恶意代码会注入到用户的浏览器中并执行,从而使用户受到攻击,常见的有窃取用户的cookie。对web服务器无直接危害。 解决方法: 在服务器端通过filter过滤检查提 ...
分类:
其他好文 时间:
2017-09-02 15:40:37
阅读次数:
146
autoescape 控制当前自动转义的行为,有on和off两个选项 block 定义一个子模板可以覆盖的块,在模板中(上一节)有使用示例 comment 注释,{% comment %} 和 {% endcomment %}之间的内容被解释为注释 crsf_token 一个防止CSRF攻击(跨站点 ...
分类:
其他好文 时间:
2017-08-31 12:51:20
阅读次数:
272
注意概念: 内容分发网络(CDN):一个托管的、地理分布的服务器网络,它可以改善网站的文件传输和性能。它还包含了诸如DDoS保护之类的安全特性。 持续威胁管理:基于预防技术的适应性和预见性防御,为及时的事件反应做好准备。 跨站点请求伪造(CSRF):一个恶意的web攻击,一个攻击程序迫使一个用户的浏 ...
分类:
其他好文 时间:
2017-08-24 16:18:10
阅读次数:
129
现在的网页技术中常见的AJAX漏洞有哪些,我们有解决的手段吗? 要是跨站点攻击,拦截请求并修改,或者修改脚本,或者加载附加脚本。现在浏览器有同源策略,加之https都可以比较有效的挡掉,不过脚本写的有漏洞的话,那就没办法了。//JavaScript一种直译式脚本语言,是一种动态类型、弱类型、基于原型 ...
分类:
Web程序 时间:
2017-07-31 22:06:31
阅读次数:
205
CSRF(Cross-site request forgery):跨站点请求伪造 XSS(Cross Site Scripting):跨站脚本攻击 CORS(cross-origin requests):跨域请求,老是跟CSRF搞混,分不清分别指什么。 XSS原理及防范 Xss(cross-site ...
分类:
Web程序 时间:
2017-07-08 00:21:24
阅读次数:
306
?? 我们谈到我们的业务,常常谈到一个词。三层架构,就是我们的UI层。数据訪问层和数据存储层的分离,通常情况下我们的业务高可用必须满足这三层的所有高可用的情况下才干达到最高级别的高可用。 那么谈到Azure。我们怎么来保证数据在跨站点级别的高可用呢?我们先来谈谈我们怎么保证在IAAS 层面的高可用。 ...
分类:
其他好文 时间:
2017-06-24 11:56:58
阅读次数:
247
XSS分类: (1)反射型XSS:只是简单地把用户输入的数据反射给浏览器。往往需要诱使用户“点击”一个恶意链接。也叫“非持久型XSS” (2)存储型XSS:把用户输入的数据“存储”在服务器端。也叫“持久型XSS” (3)DOM Based XSS:从效果上来说也是反射型XSS,通过修改页面的DOM结 ...
分类:
其他好文 时间:
2017-06-18 21:47:56
阅读次数:
812
Web开发中常常会有跨页面、跨站点、跨项目组的复用模块(界面),最常见的就是如下方所示的Web页面上用于显示登录或用户名的头部模块, 使用ASP.NET MVC开发中,常见的做法是写成部分视图,本文的目的则是进一步将这部分视图预编译成DLL, 这样就可以不直接暴露源码的提供复用组件,适合跨项目组的协 ...
分类:
Web程序 时间:
2017-05-31 14:16:59
阅读次数:
903
Token,就是令牌,最大的特点就是随机性。 Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session token来实现的。 当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中 ...
分类:
其他好文 时间:
2017-05-22 11:56:54
阅读次数:
179
