关于web安全的思考
这周有一次关于软件安全的讨论,好比Sql注入和Xss, 浏览器
Sql注入须要采起手段防止额外的拼接; 安全
Xss须要处理好用户的输入是否要到浏览器中执行,但按照业务须要分为执行和不执行两种;不执行的状况比较好办,好比Velocity的Escape工具既能够实现。执行的状况:对于用户的输入确实又要在浏览器中执行的状况,能够用黑白名单来作到。 cookie
我这里想强调的是另外一点,判断一个用户是否登录通常由session或者cookie来作到,而后作拦截器;但若是一个用户登录了,原本要删除本身的blog,可是经过firebug等工具,修改为其余人的blog_id,而后提交删除的操做,估计不少状况下能够把其余人的blog删除掉。也就是写这种删除操做的时候,也须要判断一次这个blog的owner。 session
这里mark一下,抽时间作实验验证... 工具
相关文章
- 1. 关于安全的一点思考
- 2. 关于egg.js的安全延伸思考
- 3. 关于web缓存的思考
- 4. 关于WEB三层架构的思考
- 5. 关于web安全
- 6. 对于api安全性的思考
- 7. 关于Web安全与AJAX的关系
- 8. 关于react的思考
- 9. 关于将来的思考
- 10. 关于架构的思考
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • ☆基于Java Instrument的Agent实现
- • NewSQL-TiDB相关
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 在windows下的虚拟机中,安装华为电脑的deepin操作系统
- 2. 强烈推荐款下载不限速解析神器
- 3. 【区块链技术】孙宇晨:区块链技术带来金融服务的信任变革
- 4. 搜索引起的链接分析-计算网页的重要性
- 5. TiDB x 微众银行 | 耗时降低 58%,分布式架构助力实现普惠金融
- 6. 《数字孪生体技术白皮书》重磅发布(附完整版下载)
- 7. 双十一“避坑”指南:区块链电子合同为电商交易保驾护航!
- 8. 区块链产业,怎样“链”住未来?
- 9. OpenglRipper使用教程
- 10. springcloud请求一次好用一次不好用zuul Name or service not known
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 关于安全的一点思考
- 2. 关于egg.js的安全延伸思考
- 3. 关于web缓存的思考
- 4. 关于WEB三层架构的思考
- 5. 关于web安全
- 6. 对于api安全性的思考
- 7. 关于Web安全与AJAX的关系
- 8. 关于react的思考
- 9. 关于将来的思考
- 10. 关于架构的思考