搜索结果
"tag:"xss""
| 标题及摘要 | 日期/时间 | |
|---|---|---|
|
1
|
Web安全测试之XSS - 小坦克 - 博客园
XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不一定在script/script中 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。 对数据进行Html Encode 处理 过滤或移除特殊的Html标签, 例如: script, iframe , ... |
2013-10-25 16:12:00 |
|
2
|
Spring MVC防止XSS、SQL注入漏洞攻击方法 - windows9834的日志 - 网易博客
XSS漏洞攻击主要分为两种途径: 1、URL参数传递 2、表单提交参数 先说第一种,这种一般都是做为查询条件传递到后端的,来需要保存到数据库中的,处理方法也简单,只要进行转码或过滤就可以了。但是具体方法也有很多,如 1)直接对参数进行编码:StringEscapeUtils.escapeHtml(searchWords);在传递可页面显示的时候都可以进行。 2)在Spring的控制器中注册属性编辑器 下面是一个简单的Spring命令控制器,扩展AbstractCommandController: pub... |
2013-10-25 16:08:00 |
|
3
|
Spring MVC防御CSRF、XSS和SQL注入攻击 - Mainz - 博客园
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,但如果了解一些实现原理,手工来处理,也是有好处的。因为其实很多人做web开发,但涉及到web安全方面的都是比较资深... |
2013-10-25 16:05:00 |
|
4
|
XSS CSRF 攻击 - siqiniao - 博客园
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery)定义: 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击),为了与层叠样式表(Cascading Style Sheets)区分,故命名为XSS XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但... |
2013-10-25 16:00:00 |