前段缓存以及xss csrf sql注入

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量221 收藏
点赞数
文章标签: 缓存 xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45346239/article/details/125562915
版权
本文介绍了前端缓存的强缓存与协商缓存机制,包括HTTP缓存头如Expires、Cache-Control、Last-Modified和ETag的工作原理。此外,还详细讨论了XSS、CSRF和SQL注入的安全问题,阐述了它们的攻击原理、防御措施,如验证Referer字段、使用Token和设置HttpOnly Cookie。
摘要由CSDN通过智能技术生成

1.23. 前段缓存(http缓存:强缓存与协商缓存、浏览器缓存)

强缓存:
每次用户正常打开这个页面,浏览器会判断缓存是否过期,没有过期就从缓存中读取数据
强缓存相关字段有expires,cache-control。如果cache-control与expires同时存在的话,cache-control的优先级高于expires。
如果cahe-control:中有immutable的话,就算用户刷新页面,浏览器也不会发起请求去服务,浏览器会直接从本地磁盘或者内存中读取缓存并返回200状态。
协商缓存:
协商缓存相关字段有Last-Modified/If-Modified-Since,Etag/If-None-Match
客户端请求数据,如果数据还没有超过过期时间,则从浏览器缓存中直接获取,强缓存
如果数据已经过期,向服务器发送请求,进行协商缓存,比较Last-Modified/If-Modified-Since,Etag/If-None-Match,,如果内容未修改,命中缓存,只返回响应头
200 OK (from cache) 是浏览器没有跟服务器确认,直接用了浏览器缓存;
304 Not Modified 是浏览器向服务器请求数据,判别从上次访问,是否被修改,最终未修改,返回缓存

Last-Modified与ETag是可以一起使用的,服务器会优先验证ETag,一致的情况下,才会继续比对Last-Modified,最后才决定是否返回304。

最低0.47元/天 解锁文章
陌语倾年
关注
XSSCSRFSQL注入攻击及防御
HZ___ZH的博客
12-11 540
一.XSS 1.什么是XSS XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。 窃取Cookie。 监听用户行为,比如输入账号密码后直接发送到黑客服务器。 修改 DOM 伪造登录表单。 在页面中生成浮窗广告。 2.XSS 攻击的实现有三种方式——存储型、反射型和文档型 存储型 存储型的 XSS 将脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。 例如:留言评论区提交一段脚本代码 反射型 反射型XSS指的是恶意脚本作为网
让你彻底了解SQL注入XSSCSRF
java技术情报局
02-24 607
相信大家在各种技术文章都看到过SQL注入XSSCSRF这三个名词,但是我觉得有一部分人可能并不清楚这三个词的真正含义。接下来,我就说下这三个名词的含义,希望对大家能有所帮助。 SQL注入 SQL注入是属于注入式攻击,这种攻击是因为在项目中没有将代码与数据(比如用户敏感数据)隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。 典型的例子就是当对SQL语句进行字符串拼接的时候...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1081
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
sql注入csrf
antaidi1217的博客
03-29 237
sql注入产生的原因?又如何防御sql注入SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 也...
pikachu靶场&CSRF&SQL注入(三)
weixin_41665162的博客
08-04 494
文章目录CSRF概述CSRF-GETCSRF-POSTCSRF-TOKENSQL注入概述数字型注入字符型注入搜索型注入XX型注入insert/update/delete注入函数介绍注入原理 CSRF 概述 举个栗子: 用户想要修改自己的账户信息,那么他的修改流程是这样的 登陆账户—>修改信息&点击提交—>修改成功 这其中有两个要求,第一账有户密码(登陆权限)、第二有修改信息的链接格式;现在如果有个攻击者想要修改用户的信息,就要先获得一个修改链接,修改其中信息(链接可以自己注册账户,抓
前端网络安全:SQL 注入XSSCSRF
hhhh
08-03 452
SQL 注入 某网站登录验证的查询句: strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 而恶意用户输入的参数为: userName = “1’ OR ‘1’='1”; passWord = “1’ OR ‘1’='1”; 直接做拼接: strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (
xss,sql注入csrf--个人整理
期待的博客
10-12 482
1、   SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。      首先让我们了解什么时候可能发生SQL 注入
SQL注入XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5706
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
springboot+thymeleaf实现如何防御XSSSQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1337
Web安全常见攻击手段 XSSSQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
springboot-防止sql注入xss攻击,cros恶意访问
热门推荐
2010yhh
11-25 4万+
springboot-防止sql注入xss攻击,cros恶意访问 文章目录springboot-防止sql注入xss攻击,cros恶意访问1.sql注入2.xss攻击3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1...
SQL注入防御之一——伪静态(PHP)
心有猛虎,细嗅蔷薇!
08-22 2871
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。 概述 众所周知,web安全防御一直
【白帽子讲web安全】关于XSS,CSRF,SQL注入
The Summer, The Winter
05-29 2045
1.XSS 分类:      1.反射型:给用户发送页面或者链接,让用户点击来进行攻击      2.存储型:把攻击存放在服务端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性更强      3.DOM型:本质上是反射型,但是是通过用户点击,修改原本dom元素的属性,构造攻击动作 反射型和dom型区别:      反射型是构造好了攻击动作,然后就等你打开那个页面
web安全问题:SQL注入XSSCSRF
愤怒的小火柴人
05-04 1124
对于一个前端网页,并不是运行起来,部署完了就大功告成了,因为,总有一些攻击手段会让你的网站崩坏。
如何防止CSRF注入式攻击
djbjh55539的博客
11-20 141
0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的co...
【网络攻防】xss 脚本注入csrf 跨域请求伪造
酷奇的博客
03-24 642
结尾的文本(字符串)。实体常常用于显示保留字符(这些字符会被解析为 HTML 代码)和不可见的字符(如“不换行空格”不需要你做任何的登录认证,他会通过合法的操作(比如: url 中输入,在评论框输入),向你的页面注入脚本(可能是 js、html 代码块等)。,编码的作用是将一些字符进行转义,使得浏览器在最终输出的结果上是一样的。对用户输入的数据进行 HTML Entity 编码(字符转义编码)。在未退出 A 网站的前提下访问 B,B 网站使用 A 网站的。移除用户输入事件和相关的属性。
CSRFXSS
hcy48的博客
10-06 545
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
网络安全-CSRF跨站伪装脚本注入
码农成长记
10-31 569
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值