以图明志

信息安全

XSS跨站脚本与CSRF跨站请求伪造

两种跨站攻击介绍
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过 Tidy 之类的过滤,我一定会在模板输出时候全部转义。

信息安全

什么是XSS跨站脚本攻击

了解XSS才能做好相应的防范措施
跨站脚本攻击(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。一般而言,跨站脚本攻击漏洞常见于网页允许攻击者通过输入对网页内容进行改写的地方。

信息安全

利用XSS注入漏洞能对网站做什么

XSS漏洞能怎么使坏?
或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞与漏洞利用的关系,不可同日而语。

PHP服务器脚本

[专题] PHP CodeBase: 过滤XSS攻击的PHP函数

一个通用的过滤函数
关于XSS攻击,如果不是很清楚,可以先看看以下三篇文章:什么是XSS跨站脚本攻击,XSS跨站脚本与CSRF跨站请求伪造,利用XSS注入漏洞能对网站做什么。那么PHP站点如何防御XSS攻击呢?下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。
1 / 1 首页 < Prev 1 Next > 尾页 页码: