web前端安全---读书笔记
web前端安全---读书笔记
粗略的看完了Web前端黑客技术揭秘前两章了,由于自身的前端功力不深,当然也是初涉前端的安全问题,所以实话还是有些问题看不太明白的。在豆瓣看到的这本书,名字真心有点很肥主流,所以这本书的名气确实在豆瓣上的评分也不高,挑这本书的原因很大程度是由于它的出版时间是2013年,而有名气的白帽子讲web安全却是2012年出版的,就我目前的感知而言,前端的发展速度极快,很多之前的东西很有可能之后就被淘汰,涉及到安全性就更是了。
第一章介绍了web安全的几个关键点:
浏览器的同源策略
同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
同不同域呢,同域要求两个站点同协议,同域名,同端口。
域站点http://www.foo.com是否同域
https;//www.foo.com | 不同域 | https和http是不同的协议,https是加密的ssl传输协议,http是超文本传输协议。 |
http://foo.com | 不同域 | 域名不同,顶级域和www子域不是一个概念。(顶级域和二级域名的区别,权重什么的会不同的。) |
http://www.foo.com:8080 | 不同域 | 端口不同,默认的是80端口。tomcat使用的也是8080端口,当然可以自己配置。 |
http://www.foo.com/a/ | 同域 | 同域名,同端口,同协议,就是多了个目录,根目录多个文件夹咯。 |
关于第三方统计脚本
很多网站都嵌入了。如果第三方的统计脚本被黑客挂马,网站本身就会被危机。这一点,个人用的是Google Analytics,代码是官方生成的,额,应该没什么很大不安因素吧~~:)相对于百度的统计,果断选择了google,只要有个gmail账号,注册,黏贴如下代码到网页呢就可以了。
<script> ( function (i,s,o,g,r,a,m){i[ 'GoogleAnalyticsObject' ]=r;i[r]=i[r]|| function (){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1* new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document, 'script' , '//www.google-analytics.com/analytics.js' , 'ga' ); ga( 'create' , 'UA-43018678-1' , '网址' ); ga( 'send' , 'pageview' ); </script> |
社会工程学
这个名词倒是看这本书第一次听说,看了这本书还是接触到蛮多的概念名词的。
社会工程学,简称社工,说白了就是“骗”。个人认为传奇点的”骗“也就如盗梦空间什么的了...
常用的社工辅助技巧:Google Hack ,SNS垂直搜索,各种手机的数据集合查询...巴拉巴拉的东东。
SQL注入攻击(关于SQL注入更详细~代码注入)
说白了就是一联合查询(个人的数据库好水好水啊唉),以MySql为例,如果用户是通过http;//www.foo.com/user.php?id=1来获取自身的账号信息的,
j加上联合查询语句:
1 union select password 1,1 from users
那么提交请求后,主城的链接的形式就会变成:
http;//www.foo.com/user.php?id=1 union select password 1,1 from users
字后端提交的sql查询语句就会变成:
select username email desc1 from users where id=1 union select password ,1,1 from users
So,user表的password就很可能不安全了。
虽然这本还有很多看不懂的地方,以后慢慢滴应该就会看得懂吧唉~路漫漫其修远兮。
web前端安全---读书笔记的更多相关文章
- 每天成长一点---WEB前端学习入门笔记
WEB前端学习入门笔记 从今天开始,本人就要学习WEB前端了. 经过老师的建议,说到他每天都会记录下来新的知识点,每天都是在围绕着这些问题来度过,很有必要每天抽出半个小时来写一个知识总结,及时对一天工 ...
- 《PHP与MySQL WEB开发》读书笔记
<PHP与MySQL WEB开发>读书笔记 作者:[美]Luke Welling PHP输出的HereDoc语法: echo <<<theEnd line 1 line ...
- <<Java RESTful Web Service实战>> 读书笔记
<<Java RESTful Web Service实战>> 读书笔记 第一章 JAX-RS2.0入门 REST (Representational State ransf ...
- Web前端开发学习笔记(一)
最近在复习Web前端的开发知识,于是就把大二上学期曾经学过的东西拿出来复习一遍,把自己在做曾经的作业时遇到有意义的点都记下来吧. Homework1:http://my.ss.sysu.edu.cn/ ...
- 《Node.js+MongoDB+AngularJS Web开发》读书笔记及联想
总体介绍 <Node.js+MongoDB+AngularJS Web开发>,于2015年6月出版,是一本翻译过来的书,原书名为<Node.js,MongoDB and Angula ...
- 《HTML5 and Javascript Web Apps》读书笔记要点摘录
必须要承认的是这本由Wesley Hales编写的书对要进军web apps 的程序员(媛)来说绝对是福音,很薄的一本书简明扼要的说明了web apps的实现原理,实现工具以及优缺点.拾人牙慧,作此摘 ...
- 【ASP.NET+MVC4+Web+编程】读书笔记
模型:数据和业务逻辑 视图:展示 控制器:接收视图输入数据,通过模型层业务逻辑处理后 返回给视图 分离关注点(模型 视图 控制器).惯例优先原则 browser-->routing-->c ...
- web前端-html学习笔记
学习html最重要的是坚持.细心.多动手.慕课网<HTML+CSS基础课程>的笔记. 1.<h1>网站标题</h1> 如:<h1>腾讯网</h1& ...
- Web前端开发学习笔记(二)
Homework2:http://my.ss.sysu.edu.cn/wiki/display/WEB/Homework+2+-+Movie+Review 这份作业跟布局相关,因此很多都是布局的知识: ...
随机推荐
- The Swift Programming Language-官方教程精译Swift(7)函数 -- Functions
函数 函数是执行特定任务的代码自包含块.通过给定一个函数名称标识它是什么,并在需要的时候使用该名称来调用函数以执行任务. Swift的统一的功能语法足够灵活的,可表达任何东西,无论是不带参数名称的简单 ...
- poj 3273 Monthly Expense (二分)
//最大值最小 //天数的a[i]值是固定的 不能改变顺序 # include <algorithm> # include <string.h> # include <s ...
- JavaScript/js把秒或者毫秒换算成xx-xx-xx 时-分-秒的形式
function MillisecondToDate(msd) { // var time = parseFloat(msd) / 1000; var time=msd; if (null != ti ...
- c语言mysql api
原文:c语言mysql api 1.mysql_affected_rows() //返回上次UPDATE.DELETE或INSERT查询更改/删除/插入的行数. 2.mysql_ ...
- Spring IOC 之Bean定义的继承
一个Bean的定义可以包含大量的配置信息,包括构造器参数.属性值以及容器规范信息,比如初始化方法.静态工厂方法名字等等.一子bean的定义可以从父bean的定义中继承配置数据信息.子bean定义可以覆 ...
- ubuntu下的apache+php+mysql的安装
平时我都时在windows下搭配apache+php+mysql环境的,只不过后来听别人说在linux下搭配apache+php+mysql更受欢迎,而且一般公司也是用这样的搭配,所以今天在试着在ub ...
- Web前端框架与类库
Web前端框架与类库的思考 说起前端框架,我也是醉了.现在去面试或者和同行聊天,动不动就这个框架碉堡了,那个框架好犀利. 当然不是贬低框架,只是有一种杀鸡焉用牛刀的感觉.网站技术是为业务而存在的,除此 ...
- Oracle左连接,右连接
Oracle左连接,右连接 数据表的连接有: 1.内连接(自然连接): 只有两个表相匹配的行才能在结果集中出现 2.外连接: 包括 (1)左外连接(左边的表不加限制) (2)右外连接(右边的表不加限制 ...
- php和表单(1)
先来一段处理表单的html代码(test.html) <form action="index.php" method="post"> name : ...
- ASP.NET开发,简化与封装
ASP.NET开发,简化与封装 微软的ASP.NET的开发,就是面向对象的编程,当然前端也能体验至面向对象的话,使用Web控件也必须的. 任一控件,我们均可以在后端.aspx.cs或.aspx.vb程 ...