摘要: 什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内 阅读全文
posted @ 2019-04-01 11:51 anyhoo 阅读(1696) 评论(0) 推荐(4) 编辑
摘要: 浏览器的同源策略限制了一些跨域行为,但仍有些特例(img、iframe、script标签)不受跨域限制,这就给XSS攻击创造了机会(这完全不是同源策略的锅,一定是程序员的锅)。 在讲下面的内容前,还是要提一下Cookie,Cookie是用来辨别用户身份的重要依据。来做个形象的比喻,有一天,小A去了一 阅读全文
posted @ 2019-02-27 14:33 anyhoo 阅读(7308) 评论(2) 推荐(3) 编辑
摘要: DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住IP。 通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。 为什么需要DNS解析域名为IP地址? 首先计算机在网络上通讯时 阅读全文
posted @ 2019-02-13 14:16 anyhoo 阅读(11930) 评论(13) 推荐(15) 编辑
摘要: 接上篇文本,千辛万苦终于拿到了access_token。 正常情况下access_token有效期为7200秒,重复获取将导致上次获取的access_token失效。目前,获取access_token接口的调用频率限制为2000次/天。 所以我们将把它存起来,对于access_token的存储,可以 阅读全文
posted @ 2017-11-01 17:46 anyhoo 阅读(1461) 评论(1) 推荐(0) 编辑
摘要: 起因是想在微信小程序中获取access_token。 之前资源只有一个阿里云虚拟主机和一个域名,于是用C#后端写了GET请求的接口,准备调用自己域名下的接口获取access_token 使用微信的wx.request接口 发现报错,提示该域名不在服务器合法域名中 于是去微信小程序的开发设置中的服务器 阅读全文
posted @ 2017-10-31 13:51 anyhoo 阅读(6099) 评论(9) 推荐(5) 编辑