/csrf/
攻擊:在瀏覽器中插入了 「惡意鏈結」 ,並在使用者訪問之時讓使用者訪問,達到使用使用者的cooikes達到連線指定伺服器客戶的的驗證資訊,並進行一些簡單的操作。
比如:
防禦:最簡單的,可以通過驗證cookies進行一些防禦。例如在使用者操作驗證中,判斷是否又cookies傳過來,如果沒有則是惡意鏈結。
但這個方法容易通過xss獲取cookies繞過。
可以通過防外鏈。
rewritecond % !(*網域名稱) [nc]
rewriterule .(*)$
[r,nc,l]
/xss:/
攻擊:與csrf相似,但xss更在於對瀏覽器的攻擊。
例如 獲取 使用者的cookies,進行偽造攻擊
進行csrf攻擊
主要思路,繞過 script 的檢測,比如通過html 的event ,如 body的οnlοad=「alert(『..』)」;
但有些更機智會替換,這時候可以用ascii碼進行防過濾
string.fromcharcode()
charcodeat() 將文字轉換為ascii碼
防禦:preg_replace(『/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t(.*)/i』 , 『』);
htmlspecialchars($str)
過濾關鍵字 fromcharcode
cookies
攻擊:恐怕中間人,xss等方法,捕捉到使用者的cookies,然後偽造自己的cooikes,達到擁有訪問許可權
防禦:開啟 httponly 讓 js 無法讀取 cookies 。
php開啟 方法 <?php ini_set("session.cookie_httponly", 1);
setcookie("abc", "test", null, null, null, null, true);
php 5.1 以前
container of 的的的原理
另外一篇,同樣精彩,揭開linux核心中container of的神秘面紗 華清遠見嵌入式學院講師。在linux 核心中有乙個大名鼎鼎的巨集container of 這個巨集是用來幹嘛的呢?我們先來看看它在核心中是怎樣定義的。呵呵,乍一看不知道是什麼東東。我們先來分析一下container of p...
存在的就是合理的,發生的即是必然的。
筆者有時候會想,什麼是對,什麼是錯?對於追求某一件事情之前首先會考慮,為什麼我要做這件事情。所以經過自我分析和生活周邊環境的總結。我認為,對於乙個人來,這是在站在個體的角度上說。什麼是對的?就是你自己覺得是對的,它就是對的。不過這個只是你自己的想法。主觀上的正確,不代表客觀上也受到了別人的認可。就拿...
Apache的rewrite的重寫相關的引數
apache mod rewrite規則重寫的標誌一覽 使用mod rewrite時常用的伺服器變數 rewriterule規則表示式的說明 匹配任何單字元 chars 匹配字串 chars chars 不匹配字串 chars text1 text2 可選擇的字串 text1或text2 匹配0到1...