本文探讨了安全领域的核心概念:Authentication(认证)与Access Control(访问控制)的区别及应用场景,并讨论了输入验证的重要性和方法,包括如何有效防御XSS攻击。
Authentication与Access Control。
我一直觉得这两个安全概念是一样的,结果书上,或者很多书上,都区分了两者。Authentication就是识别身份,Access Control则是访问控制。一般来说,我认为两者是同时需要同时发挥作用。
input validation
感觉每一层的安全界的出口处进行validate是最好的。页面上JS检测。JSP在写入数据库,或者返回页面时在validate。这样其实不错。
这个挺有意思,如果程序中过滤<script>,那就字符串中带着<scr<script>ipt>,这样就没办法过滤了。
甚至可以利用过滤的顺序。如果先过滤<script>,在过滤*号,那么<scr”ipt>,也就被过滤后成<script>了,这倒是反而帮了黑客。
因此这样看来,很可能会陷入若干次的过滤之中。
从应用的角度看来,不要去打印系统错误以及调试信息。大部分服务器会提供这样的选项,不打印有信息的错误信息。
如果form中提交,下一个页面返回时,将报页面过期。如果提交时走的是函数提交form,则很可能不报过期
扫一扫
8659
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
