關於web安全的思考
這周有一次關於軟件安全的討論,好比Sql注入和Xss, 瀏覽器
Sql注入須要採起手段防止額外的拼接; 安全
Xss須要處理好用戶的輸入是否要到瀏覽器中執行,但按照業務須要分爲執行和不執行兩種;不執行的狀況比較好辦,好比Velocity的Escape工具既能夠實現。執行的狀況:對於用戶的輸入確實又要在瀏覽器中執行的狀況,能夠用黑白名單來作到。 cookie
我這裏想強調的是另外一點,判斷一個用戶是否登錄通常由session或者cookie來作到,而後作攔截器;但若是一個用戶登錄了,原本要刪除本身的blog,可是經過firebug等工具,修改爲其餘人的blog_id,而後提交刪除的操做,估計不少狀況下能夠把其餘人的blog刪除掉。也就是寫這種刪除操做的時候,也須要判斷一次這個blog的owner。 session
這裏mark一下,抽時間作實驗驗證... 工具
相關文章
- 1. 關於安全的一點思考
- 2. 關於egg.js的安全延伸思考
- 3. 關於web緩存的思考
- 4. 關於WEB三層架構的思考
- 5. 關於web安全
- 6. 對於api安全性的思考
- 7. 關於Web安全與AJAX的關係
- 8. 關於react的思考
- 9. 關於將來的思考
- 10. 關於架構的思考
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代碼 - C#教程
- • ☆基於Java Instrument的Agent實現
- • NewSQL-TiDB相關
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 關於安全的一點思考
- 2. 關於egg.js的安全延伸思考
- 3. 關於web緩存的思考
- 4. 關於WEB三層架構的思考
- 5. 關於web安全
- 6. 對於api安全性的思考
- 7. 關於Web安全與AJAX的關係
- 8. 關於react的思考
- 9. 關於將來的思考
- 10. 關於架構的思考