网站安全
关注
分享
扫一扫
小白写程序
这个作者很懒,什么都没留下…
展开
-
二维码登录原理
问题:如果我们使用其他软件来扫码登录有什么问题? 因为二维码的转码规则是统一的,所有任何扫码软件都可以得到二维码里面的信息,比如上图二维码包含的是随机字符串uuid和登录验证接口信息。但只有同一软件的手机端才能对这些信息做处理。比如手机端服务器验证该接口信息和用户信息,并将用户uid存入redis中。重要的不是扫描二维码中的信息,而是谁扫描了这个信息。 问题:这种登录方式安全吗? 由于整个验证过...原创 2020-02-23 15:49:52 · 436 阅读 · 0 评论 -
JWT 快速了解
1、JWT简介 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息,因为此信息是经过数字签名的,因此是可以被验证和信任的。 2、JWT认证和Session认证的区别 session认证 http协议是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请...原创 2019-11-19 23:54:45 · 199 阅读 · 0 评论 -
CSRF攻击与防御
**CSRF:**跨站点请求伪造。简单理解就是黑客利用你的身份去访问正常网站,服务器认为这个请求时合法的,然后黑客就以你的名义发送邮件或者转走你的money。这个网站就存在CSRF漏洞。 攻击原理: 用户C访问受信任网站A,输入账号密码登录网站A。 通过验证后,网站A产生cookie信息返回给浏览器,此时用户登录成功,可正常访问A。 用户在未退出A之前,在同一浏览器中,去访问了网站B。 网站B接...原创 2019-09-29 10:49:54 · 233 阅读 · 0 评论 -
XSS攻击与防御
XSS简介: XSS(Cross Site Script),跨站脚本攻击,为了和CSS区分,在安全领域称为XSS。 通常指黑客通过HTML注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 XSS攻击类型: 1、反射型XSS 反射型 XSS 只是将用户输入的数据展现到浏览器上(从哪里来到哪里去),即需要一个发起人(用户)来触发黑客布下的一个陷阱(例如一个链接,一个按钮...原创 2019-09-29 11:46:26 · 3913 阅读 · 0 评论 -
跨域请求的原因及解决方案
一、什么是跨域? 请求方与服务方的源不同,就是跨域,包括: 协议不同 域名不同 端口不同 跨域的缘由: 主要是因为浏览器指定的同源策略,即“协议+域名+端口”都相同,它是浏览器最基本和最核心的安全机制,关闭它会容易受到XSS和CSRF的攻击。 跨域的后果: Cookie,LocalStorage,IndexDB无法获取 DOM和JS对象无法获得 AJAX请求不能发送(实际能发送,但拿不到结果...原创 2019-10-03 13:00:41 · 593 阅读 · 0 评论