**跨站請求偽造(cross-site request forgery)**是一種挾制使用者在當前已登入的web程式上執行非本意的操作的攻擊方法,簡單來說就是你在瀏覽器開啟了兩個頁面,其中乙個頁面通過竊取另乙個頁面的cookie來傳送偽造請求
某一家銀行轉賬操作的url位址為:
藏身於惡意**的某**片段:
若賬戶人員為alice的使用者訪問了惡意**,其登入資訊尚未過期,就會丟失1000資金
csrf攻擊並不是直接獲取使用者賬戶控制權,而是欺騙使用者瀏覽器,讓其已使用者的名義執行操作
http頭referer字段,這個字段用以標明請求**於哪個位址,看其url是否與要請求位址位於同一網域名稱下
新增校驗token,惡意**的請求不帶token無法通過校驗
**跨站指令碼(cross-site scripting)**是一種**應用程式的安全漏洞攻擊,是**注入的一種。
一. 過濾特殊字元(轉義)
二. 使用瀏覽器自帶的xss-filter
三. csp(content security policy)
四. x-frame-options:sameorigin 這個頁面只允許同源頁面載入
五. http-only 保護cookie
jwt一種基於json的、用於在網路上宣告某種主張的令牌,由三部分組成,頭部、訊息體與簽名。
前端將jwt通過http header傳送給服務端可以有效防護csrf,但是服務端既然無狀態,token在客戶端儲存位置就是乙個問題
if
(localstorage.length)
}
api閘道器介紹
api閘道器是乙個系統的唯一入口。是眾多分布式服務唯一的乙個出口。它做到了物理隔離,內網服務只有通過閘道器才能暴露到外網被別人訪問。簡而言之 閘道器就是你家的大門 身份認證 oauth2 jwt 許可權安全 黑白名單 爬蟲控制 流量控制 請求大小 速率 資料轉換 公共請求request respon...
API 閘道器(API Gateway)學習
我是做客戶端開發的,老是聽到服務端開發的同學提到閘道器,最近培訓課上一位老師又講到了閘道器,雖然不知道是什麼,但是聽他講的就是很好,非常方便,所以就來學習一下了。1.1.定義 api 閘道器是乙個處於應用程式或服務 提供 rest api 介面服務 之前的系統,用來管理授權 訪問控制和流量限制等,這...
微服務API閘道器
微服務api閘道器 api閘道器是乙個伺服器,是系統的唯一入口。從物件導向設計的角度看,它與外觀模式類似。api閘道器封裝了系統內部架構,為每個客戶端提供乙個定製的api。它可能還具有其它職責,如身份驗證 監控 負載均衡 快取 請求分片與管理 靜態響應處理。api閘道器方式的核心要點是,所有的客戶端...