duantianya2012的博客

分享原因：我们所开发的系统只是一个载体，载体中的数据才是关键；如果没有人用这个系统从而不能产生数据，那么这个系统就没有任何用处。当你的系统面向大众开放的时候，那么如何保证系统中数据的安全就是亟待解决的问题。举个自身的例子（因为在自己的身上发生了，所以才发现安全问题是多么的痛）：一个系统的充值模块，由于没有在后端校验用户充值的金额只接受了支付宝的付款成功的回调；也只在页面控制了购买金币的数量，同样没有

XSS 用户浏览器在浏览被攻击的网站时执行了网页上的特定脚本；Case A: HTML DOM<a href="/user/1">{{ user_name }}</a>Exploit: <script>alert(1)</script>Result:<a href="/user/1"><script>alert(1)</script></a>Case B: HTML Attribu

想要开发出一个安全的、健壮的Web应用其实是非常困难的，如果你觉得这实现起来非常简单的话，那么你一定是一个X炸天的程序猿，要么你就是在白日做梦……写在前面的话如果你觉得你可以在一个月之内开发出一款集使用价值、用户体验度、以及安全性为一身的产品，那么在你将产品原型真正推上市场之前，请一定要三思啊！当你仔细核查了本文给出的安全小贴士之后，你可能会发现你在产品的开发阶段跳过了很多重要的安全步骤。有的时候，