摘要: 什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。通过CSP协定 阅读全文
posted @ 2019-03-22 18:07 张志健 阅读(15819) 评论(0) 推荐(0) 编辑
摘要: X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Typ 阅读全文
posted @ 2019-03-22 17:42 张志健 阅读(13011) 评论(0) 推荐(1) 编辑
摘要: X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame 阅读全文
posted @ 2019-03-22 17:37 张志健 阅读(369) 评论(0) 推荐(0) 编辑
摘要: 下面说下禁止禁止Apache显示目录索引的常见的3种方法。要实现禁止Apache显示目录索引,只需将Option中的Indexes去掉即可,具体方法看下面说明 禁止Apache显示目录索引,禁止Apache显示目录结构列表,禁止Apache浏览目录,这是网上提问比较多的,其实都是一个意思。下面说下禁 阅读全文
posted @ 2019-03-22 17:31 张志健 阅读(1017) 评论(0) 推荐(0) 编辑
摘要: 什么时XSS攻击? XSS攻击(Cross Site Scripting)中文名为跨站脚本攻击,XSS攻击时web中一种常见的漏洞。通过XSS漏洞可以伪造目标用户登录,从而获取登录后的账号操作。 网站账号登录过程中的简单步骤 web网页中在用户登录的时候,通过表单把用户输入的账号密码进行后台数据库的 阅读全文
posted @ 2019-03-22 14:13 张志健 阅读(681) 评论(0) 推荐(0) 编辑