用ajax请求还是用命令行CURL请求总是会得到 http400:Bad Request的错误, 而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的,是CSRF验证的原因 因为Web网页访问的时候form表单中会有对应的一个隐藏input:_csrf进行了验证才可以正常进行访问: 而非网页访问方式(不通过Web表单)是无法通过csrf验证的. 禁用enableCookieValidation让分析CSRF的过程变得简单 在Controller中,加上 publi…

yii2好久没用了, 基本的都快忘了,赶紧记录一下. 1.普通的get和pst请求 $request = Yii::$app->request; $get = $request->get(); // equivalent to: $get = $_GET; $id = $request->get('id'); // equivalent to: $id = isset($_GET['id']) ? $_GET['id'] : null; $id = $request->get('i…

一 请求勾子 在客户端和服务器交互的过程中,有些准备工作或扫尾工作需要处理,比如: 在请求开始时,建立数据库连接: 在请求开始时,根据需求进行权限校验: 在请求结束时,指定数据的交互格式: 为了让每个视图函数避免编写重复功能的代码,Flask提供了通用设施的功能,即请求钩子. 请求钩子是通过装饰器的形式实现,Flask支持如下四种请求钩子: before_first_request 在处理第一个请求前执行 before_request 在每次请求前执行 如果在某修饰的函数中返回了一个响应,视图函…

1.验证Http的refer字段 http有一个refer字段,用以记录该http请求的来源地址 好处: 简单便捷,后台开发人员只需要设置一个拦截器 缺点: Referer 的值是由浏览器提供的,虽然 HTTP 协议上有明确的要求,但是每个浏览器对于 Referer 的具体实现可能有差别.比如 IE6 或 FF2,目前已经有一些方法可以篡改 Referer 值,同时,用户也可以自己设置浏览器使其在发送请求时不再提供 Referer 2.在请求地址中添加token 防范的关键在于在请求中放入黑客所…

1.普通的get和pst请求 $request = Yii::$app->request; $get = $request->get(); // equivalent to: $get = $_GET; $id = $request->get('id'); // equivalent to: $id = isset($_GET['id']) ? $_GET['id'] : null; $id = $request->get('id', 1); // equivalent to: $…

目录 0x1:检查网页的来源 0x2:检查内置的隐藏变量 0x3:用POST不用GET 检查网页的来源应该怎么做呢?首先我们应该检查$_SERVER[“HTTP_REFERER”]的值与来源网页的网址是否一致,就可以判断是否遭受到CSRF攻击 例如: form.html <html> <head> <title>提交参数</title> </head> <body onload=”document.form1.submit();”>…

1.普通的get和pst请求 $request = Yii::$app->request; $get = $request->get(); // 等同于: $get = $_GET; $id = $request->get('id'); // 等同于: $id = isset($_GET['id']) ? $_GET['id'] : null; $id = $request->get('id', 1); // 等同于: $id = isset($_GET['id']) ? $_GE…

在基础版本的config目录下 web.php 或者高级版config目录下的main.php中配置 'components' =>[ 'request' => [ 'parsers' => [ 'application/json' => 'yii\web\JsonParser', ], ], ], 在使用Yii::$app->request->post()时 调用yii\web\Request 中的post方法   : public function post($na…

DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大.最难防御的攻击之一. 按照发起的方式,DDoS可以简单分为三类. 第一类以力取胜 海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统.快速高效的应急流程无用武之地.这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见. 第二类以巧取胜 灵动而难以察觉,每隔几分钟发一个包甚至只需要一…

--HeShiwei 2014-5-15 什么是SQL注入 SQL注入,指的是用户通过向登录框输入恶意字符,利用代码的字符串拼接漏洞进行网站注入攻击,最终导致整个网站用户表信息泄露的攻击方式.黑客就是利用了程序员的字符串拼接sql语句.这个漏洞在几年前很流行,因为利用它实在是太简单.随着近几年程序员安全意识提高,注入漏洞早已不见踪影. 假如你去面试,HR看到写的程序还在用字符串拼接,基本没戏.但是我们的学校依然教拼接字符串.用winform或 wpf做的XX管理系统,问题也不大因为用的人不多.一…