超级会员免费看
网络安全防护:跨站攻击、垃圾邮件与缓冲区溢出应对指南
1. 跨站内容攻击及防护
跨站内容攻击中,若恶意攻击仅能让用户查看意外数据,问题相对不严重,但仍存在隐私泄露等风险,如用户请求意外内容可能导致隐私损失,请求非法或有罪证据材料可能产生现实影响,以特定方式请求信息还可能使信息暴露给攻击者。若攻击者能通过跨站链接不仅让用户查看数据,还能更改数据,后果将更严重。
为防止跨站恶意内容攻击,对于非数据查询的请求,若不是 POST 请求,应显示填充好数据的表单,让用户确认请求。这一做法符合 HTTP 规范,HTTP 1.1 规范指出 GET 和 HEAD 方法应仅用于数据检索,这样能让用户意识到可能存在不安全操作。
不过,该方法不能完全解决问题,部分浏览器中脚本化的 POST 请求仍可绕过。例如以下 HTML 代码:
<form action=http://remote/script.cgi method=post name=b>
<input type=hidden name=action value="do something">
<input type=submit>
</form>
<script>document.b.submit()</script>
在某些浏览器中,显示此 HTML 片段会自动让用户向攻击者指定的网站发送 POST 请求。但这一建议仍有价值,剩余问题可通过智能浏览器(如在允许 ECMAScript 发送表单前确认数据)或浏览器配置(如禁用 ECMAScript
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
