From: http://blog.sina.com.cn/s/blog_5465f7f20100tuv1.html
Web开发中的一些安全问题
转载1. SQL Injection<SQL注入攻击>
2. XSS攻击<跨站脚本>: 攻击者在页面中注入具有恶意js或者html代码,从而完全控制用户浏览器。如果你的web应用必须支持用户提供的HTML,那么应用的安全性将受到灾难性的下滑。但是你还是可以做一些事来保护web站点:确认你接收的HTML内容被妥善地格式化,仅包含最小化的、安全的tag(绝对没有JavaScript),去掉任何对远程内容的引用(尤其是样式表和JavaScript)。
3.安全控制
4. CSRF攻击,伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求
主要如下:
1. 没有验证用户http请求的方式 POST 或者 GET,GET请求被合法通过!
2. 没有验证表单来源的唯一性,不能识别是合法的表单提交还是黑客伪造的表单提交!
这个问题主要是要防止构造一个FORM表单提交,通过为FORM表单增加一个检查字段<session token>. 提交的时候, 确定该session token是否是该用户生产的。 session token可以保存在cache,数据库, 或者sesion中。
大约目前Web攻击就这些类型, 但是都是非常复杂的。 需要仔细的研究才能明白。说的解决办法都是简易的。 如果要一个完全的解决办法,最好咨询安全工程师或者小黑们。
上一篇:安全领域知识
下一篇:Apache和Jetty配置
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
浅谈Java并发运行中的一些安全问题
可导致系统瘫痪。2.用synchronized修饰的方...
队列 多线程 java 面试 jvm