安全
关注
分享
扫一扫
SAN_YUN
这个作者很懒,什么都没留下…
展开
-
csrfToken方案
我们现在的csrfToken是基于cookie的,在表单页面产生一段csrfToken并且写入cookie,提交表单的时候服务器验证。 这种方案的缺点是写入cookie比较麻烦,其实不必写入cookie,页面产生加密的csrfToken:用户id+时间戳,服务器接受请求之后反解即可。 ...原创 2013-04-30 10:21:27 · 389 阅读 · 0 评论 -
csrf和xss安全漏洞总结
CSRF 全称Cross-Site Request Forgery,是用户伪造了一个自动提交的url,导致其他用户点击URL时会自动执行一些危险操作。CSRF一般可以通过两种手段防御:1.只允许POST提交数据。2.提交数据时加上token。 XSS 全称Cross-site Scripting,是用户提交了非法的脚本内容到网站,导致其他用户访问页面时非法脚本会被执行。XSS一般提供对请求参...原创 2014-01-10 12:28:27 · 485 阅读 · 0 评论