共 6 篇文章 |
|
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识。Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.这些cookie中保存特定使用者的session ID标识,而且相同的session ID以及session生命周期内相关的数据也在服务器端保存。如下是示例:未添加secure标识的session cookie-可能会被泄露。<session-... 阅161 转0 评0 公众公开 15-10-10 20:42 |
XSS危害。通过上面交互过程可以看出来服务器是靠sessionId识别客户端是张三、李四还是王二麻子的,当其它用户获知了你的sessionId后,在其有效期内就可以凭此sessionId欺骗服务器,获取你的身份登录使用网站。原来坏蛋通过XSS把sessionId记到了自己磁盘如何伪造管理员登录。这样如果在坏蛋利用XSS注入劫持sessionId的脚本后管理员登录并访问留... 阅1918 转5 评0 公众公开 15-10-09 18:17 |
jsonp 全称是JSON with Padding,是为了解决跨域请求资源而产生的解决方案。很多时候我们需要在客户端获取服务器数据进行操作,一般我们会使用ajax+webservice做此事,但是如果我们希望获取的数据和当前页面并不是一个域,著名的同源策略(不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源)会因为安全原因决绝请求,也就是我们不... 阅67 转0 评0 公众公开 15-10-09 18:06 |
ifr.src = ''http://script.a.com/b.html'';假设域名a.com下的文件cs1.html要和cnblogs.com域名下的cs2.html传递信息,cs1.html首先创建自动创建一个隐藏的iframe,iframe的src指向cnblogs.com域名下的cs2.html页面,这时的hash值可以做参数传递用。cs2.html响应请求后再将通过修改cs1.html的hash值来传递数据(由于两个页面不... 阅6 转0 评0 公众公开 15-10-09 17:33 |
RESTful API 设计最佳实践。目前互联网上充斥着大量的关于RESTful API(为了方便,以后API和RESTful API 一个意思)如何设计的文章,然而却没有一个”万能“的设计标准:如何鉴权?API格式如何?你的API是否应该加入版本信息?当你开始写一个app的时候,特别是后端模型部分已经写完的时候,你不得不殚精竭虑的设计和实现自己app的public API部... 阅6 转0 评0 公众公开 15-10-09 16:06 |