信管网十月*: [回复] 1 g b h j f i e d a c 2 a 广泛性 3 常使用自带的安全api,完全避免使用解释器或提供参数化界面api 如果没法使用一个参数化的api,则使用解释器具体的escape语法来避免特殊字符 加强对用户输入验证 4 用户自身尽量不单击页面中不安全链接 使用内容安全策略cps来抵御整个网站的跨站式脚本攻击 使用具有规范化和解码功能的输入验证方法 根据将要置入的html的上下文对所有不可信数据进行恰当转义
要求用户重新认证或者判明他们是真实用户 该独有令牌包含在url或者作为url的参数 将独有的令牌包含在一个隐蔽字段
信管网cnitpm439753***: [回复] 【1】1-g;2-i;3-h;4-j;5-f;6-b;7-e;8-d;9-a;10-c
【2】局限性是错误,
【3】sql参数化查询
【4】
信管网cnitpm57427373***: [回复] g,i,h,j,f,b,edac 局限性,广泛性 使用自带的api,避免使用解释器和参数化界面的api 使用解释器的escape语法避免特殊字符 对用户的输入进行验证 防范xss,将不可信任的数据和动态的浏览器内容分离开来 防范csrf,在每个http里设置一个令牌,至少保证令牌对每个用户会话是唯一的
信管网cnitpm57427373***: [回复] g,i,h ,j,f,b,e,d,a,c 局限性,广泛性 使用自带api,避免使用解释器或者参数化界面的api 使用解释器里的escape函数避免特殊字符 对用户的输入的验证 防xss,避免不可信任数据和动态的浏览器内容关联 防carf,给http配置一个不可预测的令牌,至少保证对每一个用户对话都是唯一的
信管网cnitpm1475296***: [回复] 1
信管网cnitpm1475296***: [回复] 1
信管网cnitpm57427373***: [回复] g,i,h,j,f,b,e,d,a,c 局限性 广泛性 使用系统自带的api,完全避免使用解释器或者参数化界面的api 使用解释器的具体escape语法避免特殊字符 对用户的输入进行验证 防范xss,使不可信任的数据和动态浏览器的内容分离 防范csrf,在http中加入一个不可预测的令牌,至少保证令牌是用户会话的唯一性
信管网cnitpm5436332***: [回复] 问题1:1、g 2、i 3、h 4、j 5、f 6、b 7、e 8、d 9、a 10、c
问题2:局限性是错误的,应该是广泛性
问题3:常使用自带的安全的api,完全避免使用解释器或提供参数化界面的api;如果没法使用一个参数化的api,应该使用解释器具体的escape语法来避免特殊字符;加强对用户输入的验证
问题4:见教材p806-807
信管网kingw***: [回复] 略
|