zoukankan      html  css  js  c++  java
  • 关于前端XSS攻击、短信轰炸等问题

    关于前端的XSS攻击:

      这里有一篇Ryf老师的写的关于使用  Content Security Policy (简称 CSP 防御)来防御xss攻击,简单来说就是设置白名单,告诉浏览器哪些链接、内容是可以加载的

      有两种方式:

      一、通过 HTTP 头信息的Content-Security-Policy的字段

      二、通过meta 标签设置

      <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; "/>
      
      如果请求的资源不是设置的content,浏览器会自动拒绝访问


    详细的使用说明,可以看一下原文

      http://www.ruanyifeng.com/blog/2016/09/csp.html

    关于项目中遇到的短信轰炸漏洞问题:

      在网上搜寻的许久、无非给出几种解决方案:

      (1)增加图形验证
      (2)单IP请求次数限制
      (3)限制号码发送

      增加图片验证,虽然可以防止恶意抓包,但在移动端的交互体验上会很不友好;IP请求限制目前鉴于平台无法控制,放弃此方案;目前折中的做法就是服务器端做频次控制

      

  • 相关阅读:
    Openlayer 3 的画图测量面积
    Openlayer 3 的画线测量长度
    屏幕尺寸
    px和em,rem的区别
    水平和垂直居中
    Flex布局
    继承的几种方法及优缺点
    call ,apply 和 bind的用法与区别
    mybatis springmvc velocity的demo
    正则同时包含两个关键字
  • 原文地址:https://www.cnblogs.com/hubgit/p/6344227.html
Copyright © 2011-2022 走看看