摘要:
TOKEN验证防止CSRF攻击的原理。CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。 要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样 阅读全文
摘要:
HTTP 协议是无状态的 在web中使用cookie+session的技术来保持用户登陆的状态 移动端使用token来保持用户登陆状态由于token在网络中传输,很容易被 中间人获取,进而模拟用户进行其他相关操作 解决办法: 服务器端 响应头增加随机字符串 CSRF_TOKEN=xxxxxxxxxx 阅读全文
摘要:
在app开放接口API的设计中,避免不了的就是安全性问题。 一、HTTPS 协议 对于一些敏感的API接口,需要使用https协议。 https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。 二、签名设计 原理:用户登录后向服务器提供用户认证信息(如账户和密码), 阅读全文