摘要：当你微博评论时候，会弹出登录框，那问题来了，它是怎么知道的。 未登录请求 Request： Response： 登录后请求 Request： Response： 总结 从两个请求可以看出，登录后的请求的请求头cookie里多了login_sid_t和SSOLoginState一些字段，这些应该就是新 阅读全文

摘要：点击劫持（ClickJacking）是一种视觉上的欺骗手段。大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义； iframe覆盖 直接 阅读全文

摘要：CSRF是什么？ CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。 举个例子 简单版： 假如博客园 阅读全文

摘要：在我上一篇《前端安全之XSS攻击》文中，并没有把XSS攻击的解决办法说完整，而XSS的攻击又那么五花八门，有没有一招“独孤九剑”能够抗衡，毕竟那么多情况场景，开发人员无法一一照顾过来，而今天通过阅读《白帽子讲Web安全》这本书，对应对方式有了更好的总结，分为两类，一是服务端可以干的事，二是客户端可以 阅读全文

摘要：在数据添加到DOM时候，我们可以需要对内容进行HtmlEncode或JavaScriptEncode，以预防XSS攻击。 JavaScriptEncode 使用“\”对特殊字符进行转义，除数字字母之外，小于127的字符编码使用16进制“\xHH”的方式进行编码，大于用unicode（非常严格模式）。 阅读全文

摘要：XSS（cross-site scripting跨域脚本攻击）攻击是最常见的Web攻击，其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种，分别是： 1. Reflected XSS（基于反射的XSS攻击） 2. Stored XSS（基于存储的XSS攻击） 3. DOM-based or 阅读全文

摘要：今天思考下前端源码安全的东西（不是前端安全，只是针对于源码部分）。在我看来，源码安全有两点，一是防止抄袭，二是防止被攻破。实际上讲，前端的代码大多是没有什么可抄袭性，安全更是形同虚设的（任何前端输入都是不能相信的）。但如果还是想防止源码被查看，HTML、CSS并不能做什么，最终都会用露出来（最简单用 阅读全文

摘要：是什么沙盒（sandbox），另称沙箱，是一种按照安全策略限制程序行为的执行环境。“沙盒”技术的实践运用流程是：让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分运行，“沙盒”会记下它的每一个动作；当疑似病毒充分暴露了其病毒属性后，“沙盒”就会执行“回滚”机制：将病毒的痕迹和动作抹去，恢复系统到正常状态... 阅读全文

摘要：目标：提供一个接口给第三方服务使用，但因为第三方服务没有用户账号这东西，所以需要进行安全访问控制（Java实现）例如：http://XXXXX?nonce=XXXX?&timestamp=XXXX&signature=XXXX (请求参数在POST里面)步骤：1.在filter中获取参数，验证是第三方服务调用 获取nonce、signature、timestamp、请求参数、四个参数，如果有即是第三方服务在调用接口，没有则将请求转发给下一个filter2.检查请求的时效性 根据上面拿到的时间戳，判断请求是否过期3.获取token 拿到对应服务的token4.进行签名 1.将to 阅读全文

摘要：上周的工作有安全验证这一块，但不懂，只知道有几个关键字Oauth、secret-key 、token、签名等。今天就查下资料做笔记。 Oauth是什么 不依靠用户账号和密码就能获得访问资源权限 本质：一种开放的协议 作用：为用户资源的授权提供了一个安全的、开放而又简易的标准（不会使第三方触及到用户的 阅读全文