国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP
Html的安全隱患

最近這段時間一直在研究HTML和JavaScript的安全問題,這里先整理一下Html的安全隱患。

一.Html安全隱患

1.CSRF攻擊【漏洞】

      之前外我寫過一篇《淺談CSRF攻擊方式》,如果想詳細(xì)了解CSRF原理及其防御之術(shù),可以看一下。

      這里簡單距個例子說明一下:

存在CSRF漏洞Html代碼:

<form action="Transfer.php" method="POST"><p>ToBankId: <input type="text" name="toBankId" /></p><p>Money: <input type="text" name="money" /></p><p><input type="submit" value="Transfer" /></p></form>

以上漏洞的攻擊代碼:

<form method="POST" action="http://www.Bank.com/Transfer.php"><input type="hidden" name="toBankId" value="hyddd"><input type="hidden" name="money" value="10000"></form><script>document.usr_form.submit();</script>

      如果用戶在登陸www.Bank.com后,訪問帶有以上攻擊代碼的頁面,該用戶會在好不之情的情況下,給hyddd轉(zhuǎn)賬10000塊。這就是CSRF攻擊。

2.包含不同域的Js腳本【隱患】

      在Html頁面中,包含如:

<script src="http://www.hyddd.com/hello.js"/>

不同域的腳本文件,是一種值得慎重考慮的行為,因為你把本站點的安全和其他站點的安全綁定在一起了。黑客可以通過入侵修改www.hyddd.com的hello.js文件,達(dá)到攻擊的效果。比如說:JavaScript Hijacking(關(guān)于JavaScript Hijacking可以參考《深入理解JavaScript Hijacking原理》)。

3.Html中的Hidden Field【隱患】

      注意對隱藏字段的使用。比如hidden的<input>標(biāo)簽。

      不要把敏感的信息存放在隱藏字段中,以防被別人更改替換和瀏覽器緩存。

4.上傳文件【隱患】

      請慎重對待上傳文件這一功能,因為攻擊者有可能借這個機會執(zhí)行惡意代碼,如圖:

所以請小心處理上傳文件功能。

      以上是我搜集到的4種關(guān)于Htm的安全隱患,資料的主要來源都是Fortify的一些文章 ,如果有錯漏或者補充,請和我聯(lián)系:>

轉(zhuǎn)載請說明出處,謝謝![hyddd(http://www.cnblogs.com/hyddd/)]

二.參考資料

1.《Input Validation and Representation Fortify Software》

2.《Common Weakness Enumeration》

3.《淺談CSRF攻擊方式》,作者:hyddd

本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
input type=hidden - HTML元素
前端安全系列之二:如何防止CSRF攻擊?
跨站請求偽造(轉(zhuǎn))
WEB常見漏洞之CSRF(靶場篇)
CSRF(跨站請求偽造)介紹及防范方法 - Origami的棲息屋
關(guān)于input,type為hidden的問題
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服