超级会员免费看
Web 应用安全与脚本语言使用指南
1. HTTP 请求方法
在 Web 开发中,不同的 HTTP 请求方法有其特定的用途和安全注意事项:
- POST 请求 :可以在不使用客户端 JavaScript 的情况下,通过浏览器提交,其他客户端如 wget 和 curl 也能提交 POST 请求。需要一个带有 JavaScript URL 的按钮或链接来提交页面上的表单。
- PUT 方法 :这是最初的 HTTP 上传机制,需要指定一个 CGI 脚本来处理 PUT 请求,不过它似乎已被 WebDAV 等方法所取代。
- TRACE 方法 :原本是作为调试工具设计的,但很少有人了解或使用它。后来有人发现了该方法的漏洞( http://www.kb.cert.org/vuls/id/867593 ),并建议在 Apache 中禁用 TRACE 处理。不过由于该漏洞利用所需的环境非常特定,实际操作中可能并非必要。
2. CGI 语言
任何遵循 CGI 规范的语言都可以作为 CGI 语言。一个 HTTP 响应至少需要一个初始的 MIME 类型行、一个空行,然后是内容。以下是一个用 shell 编写的最小 CGI 脚本示例:
#!/bin/sh
echo "Content-type
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
