XSS、CSRF - 走看看

zoukankan html css js c++ java

XSS、CSRF

原则：　不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中

1、将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
2、只允许用户输入我们期望的数据。例如：　年龄的textbox中，只允许用户输入数字。而数字之外的字符都过滤掉。
3、对数据进行Html Encode 处理
4、过滤或移除特殊的Html标签，例如: <script>, <iframe> , < for <, > for >, &quot for
5、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

CSRF:http://www.jianshu.com/p/7f33f9c7997b

查看全文

相关阅读:
79. Word Search
97. Interleaving String
74. Search a 2D Matrix
73. Set Matrix Zeroes
72. Edit Distance
71. Simplify Path
64. Minimum Path Sum
shell编程备份mysql数据库并发送到另一个服务器
 linux 命令执行的判断依据： ;,&&,||
linux 数据流重定向

原文地址：https://www.cnblogs.com/xiaoweigogo/p/7778480.html

Copyright © 2011-2022 走看看