web安全
文章平均质量分 84
神奇大叔
这个作者很懒,什么都没留下…
展开
-
网络攻击 XSS、CSRF 攻击等
同源策略:同源指的是我们访问站点的:协议、域名、端口号必须一至,才叫同源。浏览器默认同源之间的站点是可以相互访问资源和操作DOM的,而不同源之间想要互相访问资源或者操作DOM,那就需要加一些安全策略的限制,俗称同源策略同源策略主要限制了三个方面:DOM层面:不同源站点之间不能相互访问和操作DOM数据层面:不能获取不同源站点的Cookie、LocalStorage、indexDB等数据网络层面:不能通过XMLHttpRequest向不同源站点发送请求当然同源策略限制也不是绝对隔离不同源的站点原创 2021-12-15 16:11:08 · 2702 阅读 · 0 评论 -
web 后台相关
后台(包括云函数与自建后台)注入漏洞注入漏洞(SQL、 命令等)通常指用户绕过后台代码限制,直接在数据库、 shell 内执行自定义代码。常见的注入漏洞有:SQL 注入SQL 注入是指 Web 程序代码中对于用户提交的参数未做有效过滤就直接拼接到 SQL 语句中执行,导致参数中的特殊字符打破了 SQL 语句原有逻辑,黑客可以利用该漏洞执行任意 SQL 语句。开发建议:使用数据库提供的参数化查询来进行数据库操作,不允许直接通过拼接字符串的方式来合成 SQL 语句。如果存在部分情况需要通过拼接原创 2021-11-12 11:38:46 · 3202 阅读 · 0 评论