原文:http://kb.cnblogs.com/page/115136/ 随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为... Read More
posted @ 2015-11-20 02:13 奋斗终生 Views(315) Comments(0) Diggs(0) Edit
add by zhj: 我也同意作者的观点,JavaScript 操作 Cookie 是一种不正常的做法;可以用 JavaScript 操作 Cookie 完成的功能,一样可以在服务端来完成。js操作cookie会带来的风险,比如xss,用户篡改cookie等。在django的csrf防御机制中,模... Read More
posted @ 2015-11-20 02:08 奋斗终生 Views(474) Comments(0) Diggs(0) Edit
原文:http://www.django-china.cn/topic/580/一.CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CS... Read More
posted @ 2015-11-20 01:37 奋斗终生 Views(667) Comments(0) Diggs(0) Edit