TFpI.cnblogs

摘要： 垂直权限管理是一种“基于角色的访问控制” 水平权限管理是一种“基于数据的访问控制” 无论哪种访问控制，设计方案时应该满足'最小权限原则" 阅读全文

摘要： 认证的目的是为了认出用户是谁，授权的目的是为了决定用户能够做什么。 密码必须以不可逆的加密算法，或者单向散列函数算法，加密后储存在数据库中。 如果只有密码作为唯一的认证手段，从安全是略显不足。所以要采用多因素认证。 Session认证：密码与证书等认证手段，一般用于登录（login）过程。当登录完成 阅读全文

摘要： HttpOnly： 浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。httponly解决的是XSS后的Cookie劫持。给cookie添加httponly代码。 输入检查，输出检查： 使用编码或转义的方式。使用正则表达式对输入加以限制。 若输出到客户端或者解释器的数 阅读全文

摘要： 利用字符编码： 百度曾经出过一个XSS漏洞，在一个<script>标签中输出一个变量，其中转义了双引号： 一般来说这里是没有XSS漏洞的，因为变量位于双引号内，系统转义了双引号。但是百度的返回页面是GBK/GB2312编码的，因此"%c1\"这两个字符被组合在一起会成为一个Unicode字符，在Fi 阅读全文