摘要: csrf (Cross-site request forgery) 伪造请求会话、cookie注入 1.可以通过document.cookie="JSESSIONID=123456789"; //设置tomcat默认的会话cookie名称,值为要注入的会话cookie 2.直接登陆url,就拿到了另一个会话。防范方法: 1.检查http头的referer (这个值也可以伪造) 2.检查客户端IP(如果功击者和被害者通过同一路由上网公网IP一样) 3.添加token,每请求一次更改一次服务端token,token还可以防止重复提交。xss (cross site scrip. 阅读全文
posted @ 2013-01-29 15:18 microsoft_kk 阅读(299) 评论(0) 推荐(0) 编辑
摘要: var a=b=0; var object={ a:'a', b:'b', c:function(){ return this.a; }, //function内可以访问到平级变量的值和外部的值。 d:function(){ return this.b; } } alert(object.c()); //根据就近原则,显示的值为a。var a=b=0;var object={ a:'a', b:'b', c:function(){ return this.a; }, //function内可以访问到平级变量的值和外部的值。 d:f 阅读全文
posted @ 2013-01-29 11:51 microsoft_kk 阅读(275) 评论(0) 推荐(0) 编辑