2017年3月13日
摘要:
CSRF跨站请求 案例:用户A登录自己银行账户后,转给tom一笔钱,发送服务端的请求链接是http://www.bank.com?money=10000&name=tom;攻击者再次银行也有自己的账户,模仿了一条链接http://www.bank.com?money=10000&name=zhang 阅读全文
摘要:
XSS跨站脚本攻击 解释:就是攻击者在页面嵌入js代码,盗取被攻击者同浏览器下的cookie信息,跳转到恶意网站,注入木马等,常见的有两种方式: 《1》Dom-Based XSS 漏洞; 攻击者A先创建一个http://www.a.com网站,用来接收数据,然后给被攻击者B发送一条链接http:// 阅读全文
摘要:
token 作用:可以用来作用户身份认证和防止表单重复提交,防csrf攻击; 用法:用户在发送用户名和密码到服务端时,服务端验证密码如果成功侧生成一个加密的token字符串存贮在服务端如mysql,redis,memcache中,加密的字符串再返回给客户端;客户端将其存贮在cookie或本地loca 阅读全文
摘要:
HTTP协议是无状态协议,是基于TCP/IP的应用层协议。主要是规定了客户端和服务端的通信格式,默认是80端口。 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写。 主要特点: 《1》简单快速;customer向server请求服务时,只需传送请求的方法 阅读全文