记得之前从JE 某网友的言论中沉淀了一句话,让我记忆犹新。
某JE友人 写道
世界上从来没有过BS系统,只有B系统和S系统
昨天采购服务器,选型选了半天,最后还是看安全指标吧,突然看到关于XSS的话题,仔细了解,才发现我们的思路
还不如这些小黑们。黑客的需求分析与实现比我们开发软件项目更加精准,达到目的就可以。
说到XSS,都是Session惹得祸,怎么能超越Session链接服务者和消费者,并且能验证他们相互的身份,想了一夜,无解。
唯一想到的就是刚才那句话。说的很有道理,有Session的就是客户端-服务器(CS架构系统),真的没有B/S系统哦。
服务器还是没选好~~
至于Session的问题,我猜是不是都用类似源代码混淆器的方法保证安全啊,毕竟漏洞是人造的,利用漏洞也是人工的,
混淆可以很好的提高http的安全性吧。