Web安全
辛加涛
这个作者很懒,什么都没留下…
展开
-
(转)使用DFA实现文字过滤
记得之前面试一个很牛的单位的时候,面试官问了一个问题是关于文字过滤的,当时由于水平有限,能想到的方法就是正则表达式了,最近在学习的过程中发现通过DFA实现文字过滤才是正确的选择,先转载一篇文章,再详细学习。 文字过滤是一般大型网站必不可少的一个功能,而且很多文字类网站更是需要。那么如何设计一个高效的文字过滤系统就是非常重要的了。文字过滤需求简要描述:判断集合A中哪些子集属于集合B,拿java...原创 2015-07-13 11:03:43 · 115 阅读 · 0 评论 -
jsoup-消除不受信任的HTML (来防止XSS攻击)
消除不受信任的HTML (来防止XSS攻击) 问题 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 方法 使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 W...原创 2015-07-13 11:06:47 · 98 阅读 · 0 评论 -
Spring MVC防御CSRF、XSS和SQL注入攻击 - Mainz - 博客园
Spring MVC防御CSRF、XSS和SQL注入攻击 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Toke...原创 2017-02-04 11:30:16 · 106 阅读 · 0 评论 -
Spring MVC 实现跨域资源 CORS
什么是 CORS ? 跨来源资源共享(Cross-origin resource sharing)是一份浏览器技术的规范,提供了 Web 服务从不同域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpReques...原创 2017-12-20 14:59:52 · 102 阅读 · 0 评论 -
转载:什么是HttpOnly
转载:https://www.cnblogs.com/softidea/p/6040260.html 什么是HttpOnly 1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索2.javaEE的API是否支持?目前sun公司还没有公布相...原创 2017-12-27 13:41:42 · 122 阅读 · 0 评论 -
HTTP X-Frame-Options 防止iframe内框架调用
-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可...原创 2017-12-27 13:45:20 · 986 阅读 · 0 评论 -
HTTP之referer
转载自:https://www.cnblogs.com/bukudekong/p/3829852.html HTTP之referer 安全培训中提到可以通过referer判断安全性,hackbar中也有一个enable referer的选项,则,这个referer到底是个什么角色? (以下是搜集的一些资料整合,链接均放到底部,不再一一注明) 1、打开httpfox抓包插...原创 2018-01-03 14:07:38 · 155 阅读 · 0 评论 -
Java 防盗链 Referer
public class HTTPWebAuthFilter implements Filter { @Autowired private CommonConfig commonConfig; @Autowired private HttpSession session; @Override public void init(FilterConfi...原创 2018-01-05 13:58:39 · 135 阅读 · 0 评论 -
Oauth 2.0 认证流程
OAuth的思路: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。 OAuth认证 OAu...原创 2018-01-09 15:51:45 · 255 阅读 · 0 评论