Web应用安全权威指南
- p41 每次会话认证完成后更改下一次的会话ID
- p44 Cookie Monster Bug:应该指定a.co.jp的却指定成co.jp
- php.ini:session.cookie_httponly=on(JS不能访问Cookie)
- 不显示错误信息:display_errors=off
- 同源策略:外部网页JS无法访问iframe内部的内容
- XSS:将外部JS注入到iframe内部执行(不用iframe也可以)
- XSS本质上是由于缺陷网站没有对用户输入做校验过滤导致的!
- 属性值用""括起来,并对< & "进行转义
- PHP htmlspecialchars
- JS以外的跨域访问:
- X-Frame-Options: Deny/SameOrigin;
- img.src指定其他域名,请求图像时就会附带图像所在主机的Cookie(&#x