http,网络安全
文章平均质量分 81
youcey
Keep calm and carry on
展开
-
http网络安全
1. Strict-Transport-SecurityHTTP Strict Transport Security,简称为HSTS。它允许一个HTTPS网站,要求浏览器总是通过HTTPS来访问它。现阶段,除了Chrome浏览器,Firefox4+,以及Firefox的NoScript扩展都支持这个响应头。我们知道HTTPS相对于HTTP有更好的安全性,而很多HTTPS网站,也可以转载 2018-01-02 10:18:08 · 686 阅读 · 0 评论 -
AppScan安全检测工具,检测出的问题解决
一、跨站点脚本请求编制二、跨站点请求伪造三、HTTP动词篡改的认证旁路原创 2017-12-29 09:45:36 · 7994 阅读 · 1 评论 -
Web安全 之 X-Frame-Options响应头配置
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下: 经过查询发现:X-Frame-Options:值有三个: (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展转载 2018-01-03 08:57:22 · 21133 阅读 · 0 评论 -
IBM AppScan 各种测试问题修改方案
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出所有以下字符:[1] |(竖线符号)[2] &转载 2018-01-03 09:41:45 · 9196 阅读 · 0 评论 -
使用SRI保护你的网站免受第三方CDN恶意攻击
出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换转载 2018-01-04 14:36:04 · 1896 阅读 · 0 评论 -
基于java过滤器实现web系统的IP访问控制
一.使用场景 一般情况下,我们设计web系统都会分别设计前台和后台,前台供普通用户访问,给普通用户提供服务.然后后台给系统管理员使用,用于管理维护前台的数据,以及对一些环境的参数配置.对于后台管理一般都是只给公司内部的员工进行访问,所以我们一般要通过IP来限制访问,实现指定的人群才...转载 2018-03-19 15:24:38 · 1023 阅读 · 0 评论 -
java实现从url路径中下载pdf文档到本地
java实现从url路径中下载pdf文档到本地package com.cellstrain.icell.util;import java.io.*;import java.net.*;public class DownloadPdf { /** * 从网络Url中下载文件 * @param urlStr * @param fileName ...原创 2018-10-09 16:44:45 · 8012 阅读 · 11 评论