最近学习web安全问题总结如下:
一、跨站脚本攻击(xss)
向web页面插入恶意代码,主要为涉及到用户输入的地方。
永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。
二、跨站点请求伪造(CSRF)
伪造连接请求,在用户不知道的情况下一用户的身份发送请求。
注意点:用token或者验证码检测用户提交
客户端最好用post请求,服务器端也应该用post校验请求方式。
最近学习web安全问题总结如下:
一、跨站脚本攻击(xss)
向web页面插入恶意代码,主要为涉及到用户输入的地方。
永远不要相信用户的输入。需要做检测(比如特殊字符显示时进行转义)。
二、跨站点请求伪造(CSRF)
伪造连接请求,在用户不知道的情况下一用户的身份发送请求。
注意点:用token或者验证码检测用户提交
客户端最好用post请求,服务器端也应该用post校验请求方式。