安全類
一、
csrf:
通常稱為跨站請求偽造,英文名
cross-site request forgery
縮寫csrf
csrf攻擊原理:
csrf攻擊的兩大因素: 1、
**中介面存在漏洞 2、
使用者一定在註冊**登入過
csrf防禦措施:1、
token驗證 2、
referer驗證(存在於http的頭部,頁面**驗證) 3、
隱藏令牌
二、xss
攻擊——
cross-site scripting
跨站指令碼攻擊
xss攻擊
是web攻擊中最常見的攻擊方法之一,它是通過對網頁
注入可執行**
且成功地被瀏覽器執行,達到攻擊的目的,形成了一次有效xss攻擊,一旦攻擊成功,它可以獲取使用者的聯絡人列表,然後向聯絡人傳送虛假詐騙資訊,可以刪除使用者的日誌等等,有時候還和其他攻擊方式同時實施比如sql注入攻擊伺服器和資料庫、click劫持、相對鏈結劫持等實施釣魚,它帶來的危害是巨大的,是web安全的頭號大敵。
攻擊條件: 1、
需要向web頁面注入惡意** 2、
惡意**能夠被瀏覽器成功執行
xss攻擊方式
:反射型、儲存型
反射型:發出請求時,xss**出現在url中,作為輸入提交到伺服器端,伺服器端解析後響應,xss**隨響應內容一起傳回給瀏覽器,最後瀏覽器解析執行xss**,這個過程像一次反射,故叫做反射型xss。
儲存型:儲存型xss和反射型xss的差別僅在於提交的**會儲存在伺服器端吧(資料庫、記憶體、檔案系統等),下次請求目標頁面時不用再提交xss**。
xss防禦措施: 1、
編碼——對使用者輸入的資料進行html entity編碼 2、
過濾——移除使用者上傳的dom屬性,如:onerror等
移除使用者上傳的style節點,script節點,iframe節點等。 3、
校正——避免直接對html entity解碼
使用dom parse轉換,校正不配對的dom標籤。
csrf與xss的區別:
xss是向頁面注入js去執行,在js函式體裡做它想做的事;csrf利用本身的漏洞幫你自動執行介面,csrf依賴於使用者要登入的**。
執行緒安全類(2)
public class test thread t1 new namedropper thread t2 new namedropper t1.start t2.start 雖然集合物件 private list namelist collections.synchronizedlist new ...
python slots屬性安全類
問題 slots 可以用於構造安全的類 如果乙個類使用了 slots 那麼它的屬性就不在自由了。下面舉例說明 1 自由屬性。class person object def init self,name,age self.name name self.age age if name main p pe...
面試準備 安全類
csrf 跨站請求偽造 cross site request forgery 這個使用者在那個註冊 確實登入過 依賴 防禦原理 token驗證 訪問後 伺服器向本地儲存乙個token referer驗證 頁面 驗證,檢查是否為本站點下面 隱藏令牌 類似token 比如隱藏在http header上 ...