2018年11月20日
摘要:
XSS即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的, 当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 说白了就是,有一段js代码本不应该是项目需要运行的结果,但是被执行了。 一种方法是通过script标签引入外 阅读全文
摘要:
上图是一个完整的CSRF攻击过程解释图 重点是第三句话 用户在没有登出的情况下,被攻击者获得了SESSIONID信息,伪造真用户登录 二、CSRF防御 通过 referer、token 或者 验证码 来检测用户提交。 尽量不要在页面的链接中暴露用户隐私信息。 对于用户修改删除等操作最好都使用post 阅读全文
摘要:
cookie 和session 的区别: 1、cookie数据存放在客户的浏览器上,session数据放在服务器上。 2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 考虑到安全应当使用session。 3、session会在一定时间内保存在服务器上。当访问增多 阅读全文
摘要:
保存session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给 服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时 仍然能够把session id传递回服务器。 经 阅读全文
摘要:
var a = [];for (var i = 0; i < 10; i++) { a[i] = function () { console.log(i); };}a[6](); // 10 变量i是var命令声明的,在全局范围内都有效,所以全局只有一个变量i。每一次循环, 变量i的值都会发生改变, 阅读全文