web应用安全权威指南(文摘)
第1章 什么是web应用的安全隐患
第3章 Web安全基础,HTTP,会话管理,同源策略
content_length 字节数
content_type mime类型
百分号编码
referer :请求的链接
要点:URL中包含重要信息时,就有Referer头信息泄漏的风险
get和post的区别:get方法仅用于查阅,Get方法被认为没有副作用,发送敏感数据时应使用post方法
hidden 参数能够被更改,原则上要避免使用使用会话变量,要使用hidden参数
无状态的HTTP认证
要点:浏览器发送的值都能够被变更
cookie 与会话管理
要点:使用开发工具提供的会话管理机制
要点:认证后改变会话ID
要点:原则上不设置cookie的domain属性
被动攻击与同源策略
主动攻击:
被动攻击:单纯的被动攻击;恶意利用正规网站进行的被动攻击;跨站被动攻击;
沙盒:禁止访问本地文件,禁止使用打印机等资源,限制网络访问(同源策略)
同源策略:禁止JS进行跨站访问
1.URL的主机一致 2协议一致 3端口号一致
同源策略保护不仅仅是iframe内的文档,ajax也受到了限制。
跨站脚本攻击
jsonp是不能用于传送隐私信息的
第4章 web应用的各种安全隐患
输入处理与安全性
跨站脚本:
生成URL时的对策:
javascript字符串字面量动态生成的对策:
允许HTML标签或CSS时的对策:
sql注入:
跨站请求伪造:(CSRF) 原因及对策
不完善的会话管理:原因及对策
重定向相关的安全隐患:原因及对策
cookie输出相关的安全隐患:原因及对策
发送邮件的问题:原因及对策
文件处理相关的问题:原因及对策
文件上传相关的问题:原因及对策 检验扩展名是否在允许范围内;图像文件的情况下确认其文件头
include相关的问题:
eval相关的问题:
共享资源相关的问题:
第5章 典型安全功能
认证,帐号管理 授权 日志管理
第6章 字符编码和安全
第7章 如何提高web网站的安全性
第8章 开发安全web应用所需要的管理
web应用安全权威指南(文摘)的更多相关文章
- Hadoop权威指南文摘
第1章 初识Hadoop 1.1 数据!数据! 1.2 数据的存储与分析 HDFS实现数据的存储,MapReduce实现数据额分析与处理 1.3 相较于其他系统的优势 MapReduce是一个批量查询 ...
- 《Web性能权威指南》
<Web性能权威指南> 基本信息 原书名:High performance browser networking 原出版社: O'Reilly Media 作者: (加)Ilya Grig ...
- 经典的性能优化最佳实践 web性能权威指南 读书笔记
web性能权威指南 page 203 经典的性能优化最佳实践 无论什么网络,也不管所用网络协议是什么版本,所有应用都应该致力于消除或减 少不必要的网络延迟,将需要传输的数据压缩至最少.这两条标准是经典 ...
- web性能权威指南(High Performance Browser Networking)
web性能权威指南(High Performance Browser Networking) https://www.cnblogs.com/qcloud1001/p/9663524.html HTT ...
- Web性能权威指南 PDF扫描版
Web性能权威指南是谷歌公司高性能团队核心成员的权威之作,堪称实战经验与规范解读完美结合的产物.<Web性能权威指南>目标是涵盖Web开发者技术体系中应该掌握的所有网络及性能优化知识.全书 ...
- 【Web性能权威指南】 PDF
Web性能权威指南.pdf 网盘:https://545c.com/file/24657411-424998805 获取码:276922
- HTTP 1.x 学习笔记 —— Web 性能权威指南
HTTP 1.0的优化策略非常简单,就一句话:升级到HTTP 1.1.完了! 改进HTTP的性能是HTTP 1.1工作组的一个重要目标,后来这个版本也引入了大量增强性能的重要特性,其中一些大家比较熟知 ...
- 《javascript权威指南》读书笔记——第一篇
<javascript权威指南>读书笔记——第一篇 金刚 javascript js javascript权威指南 由于最近想系统学习下javascript,所以开始在kindle上看这本 ...
- 【vue.js权威指南】读书笔记(第一章)
最近在读新书<vue.js权威指南>,一边读,一边把笔记整理下来,方便自己以后温故知新,也希望能把自己的读书心得分享给大家. [第1章:遇见vue.js] vue.js是什么? vue.j ...
随机推荐
- linux 下mongodb 3.2.5单机版安装
mongodb3.0.x的安装教程网上很多,这里主要介绍3.2.5的安装 linux iso 在\\10.10.10.1\ShareDoc\User\yipengzhi\ISO\Centos7.0 ...
- Python3 机器学习
Python 3 生成手写体数字数据集 Python 3 利用 Dlib 19.7 和 sklearn机器学习模型 实现人脸笑脸检测 Python 3 利用 Dlib 19.7 实现人脸检测和剪切 P ...
- 排列算法(reverse...rotate...next_permutation)
#include <iostream> #include <algorithm> #include <cstring> using namespace std; i ...
- Spring线程池ThreadPoolTaskExecutor配置及详情
Spring线程池ThreadPoolTaskExecutor配置及详情 1. ThreadPoolTaskExecutor配置 <!-- spring thread pool executor ...
- Phonegap 原生控件(Android)与html混合
1. 用命令创建cordova项目 cordova coreate hello com.example.hello hello 2.打开MainActivity 在onCreate方法中加入 setC ...
- linux用命令行看网线物理连接状态
inux下有两个命令可以看网线状态: ethtool 和 mii-tool 竟然还都要用,由于网卡所支持的协议不同,哪个网卡能用哪个命令是不一定的. [root@rhel demo]# ethtool ...
- 转 --自然语言工具包(NLTK)小结
原作者:http://www.cnblogs.com/I-Tegulia/category/706685.html 1.自然语言工具包(NLTK) NLTK 创建于2001 年,最初是宾州大学计算机与 ...
- 代码规范 for node.js with 'npm-coding-style'
npm-coding-style npm's "funny" coding style Description npm's coding style is a bit unconv ...
- PHP生产二维码
1.引入phpqrcode包 <?php include 'phpqrcode.php'; QRcode::png('http://www.learnphp.cn',"code.png ...
- WPF 实现指定UI控件截图
using System.Windows.Media.Imaging; using System.IO; private void SaveToImage(FrameworkElement ui, s ...