愛創課堂每日一題第十二天 XSS原理及防範?
Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面裏插入惡意 html標簽或者javascript代碼。比如:攻擊者在論壇中放一個
看似安全的鏈接,騙取用戶點擊後,竊取cookie中的用戶私密信息;或者攻擊者在論壇中加一個惡意表單,
當用戶提交表單的時候,卻把信息傳送到攻擊者的服務器中,而不是用戶原本以為的信任站點。
XSS防範方法
首先代碼裏對用戶輸入的地方和變量都需要仔細檢查長度和對”<”,”>”,”;”,”’”等字符做過濾;其次任何內容寫到頁面之前都必須加以encode,避免不小心把html tag 弄出來。這一個層面做好,至少可以堵住超過一半的XSS 攻擊。
其次,通過使cookie 和系統ip 綁定來降低cookie 泄露後的危險。這樣攻擊者得到的cookie 沒有實際價值,不可能拿來重放。
如果網站不需要再瀏覽器端對cookie 進行操作,可以在Set-Cookie 末尾加上HttpOnly 來防止javascript 代碼直接獲取cookie 。
盡量采用POST 而非GET 提交表單
愛創課堂每日一題第十二天 XSS原理及防範?
相關推薦
愛創課堂每日一題第十二天 XSS原理及防範?
前端 前端學習 前端入門 Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面裏插入惡意 html標簽或者javascript代碼。比如:攻擊者在論壇中放一個看似安全的鏈接,騙取用戶點擊後,竊取cookie中的用戶私密信息;或者攻擊者在論壇中加一個惡意表單,當用戶提交表單
愛創課堂每日一題第十六天為什麽HTTPS安全?
前端 前端學習 前端入門因為網絡請求需要中間有很多的服務器路由器的轉發。中間的節點都可能篡改信息,而如果使用HTTPS,密鑰在你和終點站才有。https之所以比http安全,是因為他利用ssl/tls協議傳輸。它包含證書,卸載,流量轉發,負載均衡,頁面適配,瀏覽器適配,refer傳遞等。保障了傳輸過程的
愛創課堂每日一題第十七天- 對前端模塊化的認識?
前端 前端學習 前端入門AMD 是 RequireJS 在推廣過程中對模塊定義的規範化產出。CMD 是 SeaJS 在推廣過程中對模塊定義的規範化產出。AMD 是提前執行,CMD 是延遲執行。AMD推薦的風格通過返回一個對象做為模塊對象,CommonJS的風格通過對module.exports或expo
愛創課堂每日一題第二十二天-什麽是Etag?
前端 前端學習 前端入門當發送一個服務器請求時,瀏覽器首先會進行緩存過期判斷。瀏覽器根據緩存過期時間判斷緩存文件是否過期。情景一:若沒有過期,則不向服務器發送請求,直接使用緩存中的結果,此時我們在瀏覽器控制臺中可以看到 200 OK(from cache) ,此時的情況就是完全使用緩存,瀏覽器和服務器沒
愛創課堂每日一題九十二天- html常見兼容性問題?
microsoft lte hid 像素 sel 性問題 oom select site 1.雙邊距BUG float引起的 使用display2.3像素問題 使用float引起的 使用dislpay:inline -3px 3.超鏈接hover 點擊後失效 使用正確
愛創課堂每日一題第十天創建ajax過程?
前端 前端學習 前端入門(1)創建`XMLHttpRequest`對象,也就是創建一個異步調用對象. (2)創建一個新的`HTTP`請求,並指定該`HTTP`請求的方法、`URL`及驗證信息. (3)設置響應`HTTP`請求狀態變化的函數. (4)發送`HTTP`請求. (5)獲
愛創課堂每日一題第十一天常見web安全及防護原理
前端 前端學習 前端入門sql註入原理就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。總的來說有以下幾點: 1.永遠不要信任用戶的輸入,要對用戶的輸入進行校驗,可以通過正則表達式,或限制長度,對單引號和雙"-"進行轉換等。 2
愛創課堂每日一題第二十五天-2017/9/27 棧和隊列的區別??
前端 前端學習 前端入門 棧的插入和刪除操作都是在一端進行的,而隊列的操作卻是在兩端進行的。隊列先進先出,棧先進後出。棧只允許在表尾一端進行插入和刪除,而隊列只允許在表尾一端進行插入,在表頭一端進行刪除愛創課堂每日一題第二十五天-2017/9/27 棧和隊列的區別??
愛創課堂每日一題第二十六天-2017/9/28 棧和堆的區別?
前端 前端學習 前端入門棧區(stack)— 由編譯器自動分配釋放 ,存放函數的參數值,局部變量的值等。堆區(heap) — 一般由程序員分配釋放, 若程序員不釋放,程序結束時可能由OS回收。堆(數據結構):堆可以被看成是一棵樹,如:堆排序;棧(數據結構):一種先進後出的數據結構。愛
愛創課堂每日一題第二十八天你覺得jQuery或zepto源碼有哪些寫的好的地方?
前端 前端學習 前端入門(答案僅供參考)jquery源碼封裝在一個匿名函數的自執行環境中,有助於防止變量的全局汙染,然後通過傳入window對象參數,可以使window對象作為局部變量使用,好處是當jquery中訪問window對象的時候,就不用將作用域鏈退回到頂層作用域了,從而可以更快的訪問windo
愛創課堂每日一題第三十三天- 如何評價AngularJS和BackboneJS?
前端 前端學習 前端入門backbone具有依賴性,依賴underscore.js。Backbone + Underscore + jQuery(or Zepto) 就比一個AngularJS 多出了2 次HTTP請求.Backbone的Model沒有與UI視圖數據綁定,而是需要在View中自行操作DO
愛創課堂每日一題第五十三天- 哪些操作會造成內存泄漏?
前端 前端學習 前端入門內存泄漏指任何對象在您不再擁有或需要它之後仍然存在。垃圾回收器定期掃描對象,並計算引用了每個對象的其他對象的數量。如果一個對象的引用數量為 0(沒有其他對象引用過該對象),或對該對象的惟一引用是循環的,那麽該對象的內存即可回收。setTimeout 的第一個參數使用字符串而非函數
愛創課堂每日一題八十七天-Sass、LESS是什麽?大家為什麽要使用他們?
sass 意義 什麽 機械 nod kit 動態 不用 是什麽 他們是CSS預處理器。他是CSS上的一種抽象層。他們是一種特殊的語法/語言編譯成CSS。例如Less是一種動態樣式語言. 將CSS賦予了動態語言的特性,如變量,繼承,運算, 函數. LESS 既可以在客戶端上運
愛創課堂每日一題九十六天- 行內元素有哪些?塊級元素有哪些? 空(void)元素有
img embed gen input oid line 規範 元素 sele 1)CSS規範規定,每個元素都有display屬性,確定該元素的類型,每個元素都有默認的display值,比如div默認display屬性值為“block”,成為“塊級”元素;span默認dis
愛創課堂每日一題第三十二天-談談浮動和清除浮動?
前端 前端學習 前端入門浮動的框可以向左或向右移動,直到他的外邊緣碰到包含框或另一個浮動框的邊框為止。由於浮動框不在文檔的普通流中,所以文檔的普通流的塊框表現得就像浮動框不存在一樣。浮動的塊框會漂浮在文檔普通流的塊框上。愛創課堂每日一題第三十二天-談談浮動和清除浮動?
愛創課堂每日一題第三十五天- 說說你對閉包的理解?
前端 前端學習 前端入門使用閉包主要是為了設計私有的方法和變量。閉包的優點是可以避免全局變量的汙染,缺點是閉包會常駐內存,會增大內存使用量,使用不當很容易造成內存泄露。在js中,函數即閉包,只有函數才會產生作用域的概念閉包有三個特性:1.函數嵌套函數2.函數內部可以引用外部的參數和變量3.參數和變量不會
愛創課堂每日一題第四十二天- 你知道多少種Doctype文檔類型?
前端 前端學習 前端入門該標簽可聲明三種 DTD 類型,分別表示嚴格版本、過渡版本以及基於框架的 HTML 文檔。 HTML 4.01 規定了三種文檔類型:Strict、Transitional 以及 Frameset。 XHTML 1.0 規定了三種 XML 文檔類型:Strict、Transitio
愛創課堂每日一題第四十七天- 清除浮動的幾種方法?
前端 前端學習 前端入門 1,額外標簽法,<div style="clear:both;"></div>(缺點:不過這個辦法會增加額外的標簽使HTML結構看起來不夠簡潔。) 2,使用after偽類 #parent:after{ content:".
愛創課堂每日一題第四十九天- 什麽是 FOUC(無樣式內容閃爍)?你如何來避免 FOUC?
k8s 1.8 包 獲取1、如何獲取rpm包,及制作kubernetes鏡像1.1 官方yum源,有翻墻能力的 請使用cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=http
愛創課堂每日一題第五十天- null和undefined的區別?
前端 前端學習 前端入門 null是一個表示"無"的對象,轉為數值時為0;undefined是一個表示"無"的原始值,轉為數值時為NaN。當聲明的變量還未被初始化時,變量的默認值為undefined。null用來表示尚未存在的對象,常用來表示函數企圖返回一個不存在的對象。undefined表示"缺少值"