|
Post by account_disabled on Feb 1, 2024 9:06:43 GMT
的 进一步阅读: 网络安全:您是问题的一部分吗? 增强网站安全性的 10 种方法 内容安全策略您未来最好的朋友 常见的 WordPress 恶意软件感染 我们将在本文中跳过拒绝服务攻击但仔细研究其他问题。为了更符合标准术语我们将讨论跨站脚本 XSS、跨站请求伪造 CSRF、网络钓鱼、Shell 注入和 SQL 注入。我们还将假设PHP作为开发语言但无论使用哪种语言问题都会存在并且其他语言的解决方案也将类似。 了解“TypeScript 50 课”这是我们全新的 TypeScript 指南。包含详细的代码演练、实践示例和常见问题。对于了解足够JavaScript 的开发人员来说是危险的。 跳转至目录 ↬ 功能面板 1. 跨站脚本(XSS) 跨站点脚本攻击是一种攻击其中用户被诱骗在我们的网站(我们。 称之为 .mybiz)的上下文中执行来自攻击者站点(例如evil)的代码。无论我们的网站做什么这都是一个问题但问题的严重性取决于我们的用户在网站上可以执行的操作。让我们看一个例子。 假设我们的网站允许用户发布可爱的小消息给全世界(或者也许只有他们的朋友)看到。我们的代码看起来像这样复制 (请注意我已将 更改为 h++p 以防止 URL 自动链接)。 当用户在自己的页面上查看此消息时他们会加载bad-script.js到自己的 购买电话号码列表 页面中并且该脚本可以做任何它想做的事情例如它可以窃取 的内容document.cookie然后使用它来冒充用户并可能从他们的网站发送垃圾邮件帐户或者更巧妙地更改 HTML 页面的内容以执行令人讨厌的操作可能会将恶意软件安装到读者的计算机上。请记住bad-script.js现在在 的上下。 文中执行。 发生这种情况是因为我们过于信任用户。相反如果我们只允许用户输入可以安全显示在页面上的内容我们就可以防止这种复制 请注意我们在输入上运行过滤器而不是在输出之前运行过滤器。我们这样做是为了防止将来可能出现新的用例或者新的程序员进入项目并忘记在打印数据之前清理数据。通过在输入层进行过滤我们确保永远不会存储不安全的数据。这样做的副作用是如果您有需要在非 Web 上下文中显示的数据(例如移动短信/寻呼机消息)则可能会对其进行不适当的编码。在将数据发送到该上下文之前您可能需要进一步处理数据。 现在您从用户那里获得的几乎所有内容都可能会在某个时刻写回浏览器因此最好通过FILTER_SANITIZE_SPECIAL_CHARS更改filter.default文件来设置默认过滤器。
|
|