网络协议
关注
分享
扫一扫
meh_
记录自己学习过程中的问题。
展开
-
CSRF跨站请求伪造
CSRF : 打开同一浏览器时其他网站对本网站造成的影响,原理就是攻击者构造出一个后端请求地址,诱导用户点击或通过某些途径自动发起请求。如果用户在登录状态的话,后端就会以为是用户再进行操作,从而进行相应的逻辑。 CSRF防御: get请求不对数据进行修改 不让第三方访问到用户的cookie 阻止第三方网站请求接口 请求时携带验证信息,比如验证码或者token 可以对cookie设置same-set属性。该属性表示,cookie不随着跨域请求发送,可以很大程度上减少CSRF的攻击。 ...原创 2020-10-12 18:30:06 · 156 阅读 · 0 评论 -
XSS跨站脚本攻击
XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行响应的代码。 从而盗取用户资料,利用用户身份进行某种动作或者对访问者进行病毒侵害的一种方式。 XSS的攻击危害包括: 获取页面数据 获取cookie 劫持前端逻辑 发送请求 偷取网站任意数据 偷取用户资料 偷取用户密码和登录状态 欺骗用户 XSS攻击分类 反射型 通过url参数直接注入。 发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器解析后返回,原创 2020-10-12 09:38:43 · 155 阅读 · 0 评论 -
web安全
安全性主要分为两大块: 私密性:不被非法获取和利用。 可靠性:不丢失、不损坏、不被篡改。 攻击类型 XSS跨站脚本攻击 CSRF跨站请求伪造 SQL注入 点击劫持 中间人攻击 核心 基本概念 攻击原理 预防措施 安全问题 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄密 同源策略及规避方法 同源要求: 协议相同 域名相同 端口号相同 限制范围: cookie、localstorage和indexDB无法获取 DOM无法获得 Ajax请求无法发送 点击劫持 点击劫持是一种视觉欺转载 2020-10-12 08:41:08 · 155 阅读 · 0 评论 -
从浏览器输入url到页面展示都经历了那些过程
一、url输入 当我们在浏览器中输入网址的时候,浏览器已经开始在智能的匹配的可能的url了。他会在历史记录、收藏书签等网址中匹配可能是输入字符串所对应的的url,然后给出智能提示,用来补全url。对于谷歌浏览器,他甚至可以在缓存中将页面直接显示出来。 二、DNS解析 DNS:域名系统。实现了网址到ip地址的转换。 什么是DNS:DNS是因特网上作为域名和ip地址相互映射的分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器读取的ip地址。 三、TCP链接 tcp三次握手 四、发送http请求原创 2020-10-06 11:50:59 · 465 阅读 · 0 评论