信管网van***: [回复] g, i, h, j,f,b,e,d,a,c
屏蔽不安全函数。
信管网2121816***: [回复] 1.g i h j f b e d a c 2.局限性,广泛性 3.使用自带的api,避免使用解释器和带有参数化界面的api,使用api的escape语法避免特殊字符,对用户输入进行验证 4.防止跨站脚本xss:将不信任的数据和动态浏览器的内容区分开 防范跨站请求伪造csrf:为每个http设置一个令牌,至少保证令牌对每个用户的对话是唯一的。
信管网cnitpm1633748***: [回复] 1、g
2、i
3、h
4、j
5、f
6、b
7、e
8、d
9、a
10、c
问题2
信管网cnitpm1633748***: [回复] 10、d
11
信管网cnitpm1171769***: [回复] g
i
h
j
f
b
e
d
a
c
a
信管网cnitpm22222535***: [回复] 11
信管网cnitpm439753***: [回复] 【1】1 - g;2 - i;3 - h;4 - j;5 - f;6 - b;7 - e;8 - d;9 - a;10 - c
【2】局限性是错误的,应该是广泛性
【3】使用参数化结构查询
【4】防范跨站脚本xss:将不信任数据与动态流浏览器区分开来
防范跨站请求伪造(csrf):为每个http都配置令牌,至少保证令牌对每个用户对话都是唯一的。
信管网cnitpm14783858***: [回复]
一:
1.g
2.i
3.h
4.j
5.f
6.b
7.e
8.d
9.a
10.c
二:
c / 攻击时间长
三:
1.严格校验外部输入的不可控的参数,如何业务不需要,应该过滤特殊字符如 ; , -等
2.执行sql之前,先预编译
四:
1.严格校验外部输入的不可控的参数如 <> %等
2.把特殊字符用url编码转换
如何防范跨站请求伪造?1.加入时变参数,1.可以用时间戳 2.可以在服务端生成24位安全随机数的token值保存在服务器,返回给前端,前端在每次请求,特别是一些重要操作,一定要携带这个token值传过后端校验,
后端拿到前端传来的token值之后要与服务器保存的token做校验,相同则请求通过,继续业务进行,否则拒绝服务,并且记录请求ip,如果多次恶意访问,可以加入黑名单,拒绝该ip请求一段时间.
信管网cnitpm28151895***: [回复] ba
信管网cnitpm27249251***: [回复] 1g 2i 3b 4j 5f 6h 7e 8d 9a 10c
|