本文探讨了Web安全中的同源策略(SOP),并详细介绍了两种实现HTTP状态管理的方法:通过URL查询字符串(GET/POST)及使用Cookies。此外,还讨论了Cookies的安全问题及其可能遭受的攻击。
在WEB里,要记住网页是本地执行的。PHP是服务端执行用来产生网页的。
1. SOP
Same Origin Policy,要求动态内容只能读取与一同源(同主机,同协议,同端口)的HTTP应答或cookie
2. Session management
如何让HTTP有状态?即可以记住与之前用户的交互。有两种方式,
2.1 GET/POST:将状态符附在URL后面,即所谓的query string
2.2 Cookies: 写入本地磁盘
个人觉得cookie里没有保存密码,而是保存了一个session id 和用户名. 而且服务器端也保存了session id。这样就能在下次登陆时进行检测
可以参考这篇 http://kaowww153.javaeye.com/blog/626111
Cookie的攻击:
- Guessing Attacks: 通过猜测session id
- Discoversy Attakcs:
- Cross-site scripting
- 将javascript等脚本注入某vulnerable服务器,过程如下
- CSRF(Cross-site request forgery)
- Clickjacking,这是通过在一个页面中放置另一个隐藏页面(重叠),所以当你点击时,其实是点了上面的隐藏页面
- DNS positioning
- Setting Attacks
- SQL Injection
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
