安全
、小H
这个作者很懒,什么都没留下…
展开
-
JAVA 什么要设置HttpOnly
HttpOnly Cookies是一个cookie安全行的解决方案。 在支持HttpOnly cookies的浏览器中(IE6+,FF3.0+),如果在Cookie中设置了"HttpOnly"属性,那么通过JavaScript脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击,让网站应用更加安全。但是J2EE4,J2EE5 的Cookie并没有提供设置 HttpO...原创 2019-08-21 12:45:04 · 1748 阅读 · 0 评论 -
分布式下的session和token
分布式架构下的session和token我们已经知道session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。当今的几种解决session负载均衡的方法。而t...原创 2019-08-06 14:44:15 · 3073 阅读 · 0 评论 -
深入聊聊微服务架构的身份认证
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 单体应用 VS 微服务 随着微服务架构的兴起,传统...原创 2019-08-06 14:31:42 · 380 阅读 · 0 评论 -
常见的攻击手段——DDOS,CC攻击
DDoS即分布式拒绝服务攻击要理解DDos,得先从DoS说起。最基本的DoS攻击就是利用合理的客户端请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应。DDoS的原理就非常简单了,它指的是攻击者借助公共网络,将数量庞大的计算机设备联合起来作为攻击平台,对一个或多个目标发动攻击,从而达到瘫痪目标主机的目的。通常,在攻击开始前,攻击者会提前控制大量的用户计算机,称之为“肉鸡”,...原创 2019-07-25 11:34:23 · 2375 阅读 · 0 评论 -
常见的攻击手段——XSS,CSRF
XSS(跨站脚本攻击)跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该网页时,脚本程序便开始在客户端的浏览器执行以盗取客户端cookie,盗取用户名密码,下载执行病毒木马程序甚至是获取客户端admin权限等。如何防御XSS跨站攻击(进行转义)XSS之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行Html转义处理,将其中的尖括号,单引号...原创 2019-07-25 11:32:16 · 470 阅读 · 0 评论 -
常见的安全算法--单向加密--Hash算法
常见安全算法—数字摘要数字摘要也称为消息摘要,它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash函数对消息进行计算而产生。如果消息在传递的途中改变了,接收者通过对收到消息采用相同的Hash重新计算,新产生的摘要与原摘要进行比较,就可知道消息是否被篡改了,因此消息摘要能够验证消息的完整性。消息摘要采用单向Hash函数将需要计算的内容"摘要"成固定长度的串,这个串亦称为数字指纹...原创 2019-07-25 11:31:17 · 3272 阅读 · 0 评论 -
预防文件上传漏洞
预防文件上传漏洞1.为了防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当做免费的文件存储服务器使用,需要对上传的文件类型进行白名单(非黑名单,这点非常重要)校验,并且限制上传文件的大小,上传的文件,需要进行重新命名,使攻击者无法猜测到上传文件的访问路径。2.对于上传的文件来说,不能简单的通过后缀名称来判断文件的类型,因为恶意攻击可以将可执行文件的后缀名称改成图片或者其他...原创 2019-07-25 10:07:50 · 984 阅读 · 0 评论 -
SQL注入攻击防御
1. 使用预编译语句预编译语句PreparedStatement是java.sql中的一个接口,继承自Statement接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS先进行编译后再执行。而预编译语句和Statement不同,在创建PreparedStatement对象时就指定了SQL语句,该语句立即发送给DBMS进行编译,当该编译语句需要被...原创 2019-07-25 10:05:34 · 226 阅读 · 0 评论 -
常见安全算法-对称加密
对称加密对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发送方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,生成复杂的加密密文进行发送,数据接收方收到密文后,若想读取原文,则需要使用加密使用的密钥及相同算法的逆算法对加密的密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发送和接收双方都使用这个密钥对数据进行加密和解密,这就要求加密和解...原创 2019-07-25 10:03:19 · 2197 阅读 · 0 评论