下面是常见的几种web安全问题及解决方案,希望能对大家有所帮助。
1、跨站脚本攻击(Cross Site Scripting)
解决方案
xss之所以会发生,是因为用户输入的数据变成了代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“双引号”之类的特殊字符进行转义编码。
2、SQL注入
报错时,尽量使用错误页面覆盖堆栈信息
3、跨站请求伪造(Cross-Site Request Forgery)
解决方案
(1)将cookie设置为HttpOnly
server.xml如下配置
1
<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>
web.xml如下配置
(2)增加token
表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token。
(3)通过referer识别
根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。
4、文件上传漏洞
在网上经常会操作,上传图片、文件到服务端保存,这时候,如果没有对图片文件做正确的校验,会导致一些恶意攻击者上传病毒,木马,外挂等等到服务器,窃取服务器信息,甚至导致服务器瘫痪。
因此需要对上传的文件进行校验,很多文件起始的几个字节是固定的,因此,根据这几个字节的内容,就可以判断文件的类型,这几个字节也被称作魔数。
征集网站制作软件、flash制作软件、网站制作代码等等
Macromedia Dreamweaver 8、Macromedia FLASH 2008、大宝库
以下都是本人作品,不是拷贝的:如果网上有相同的,都是抄袭我的。 你是想建立一个个人网站,用于发表文章或其它用途,目前这是一个很时尚的潮流,介绍这个方案,使你多一个选择,通常总是希望简单而又少花钱,我明确地告诉你,你不可能做到不付钱就有人送个网站给你的好事,同时这样的网站即使送给你,对你也是毫无用处,——你想少花钱的话,必须自己学会做其中的一些事情,否则不可能。
即使你比较有钱,网站也必须自己维护,不然你这个网站将是一块很难改动的广告牌,没有什么意义。 建立网站前,你必须学习一些道理,介绍你到《站长网》看看,那是一个网站站长聚集的网站,许多文章同建立网站有关,这个网站的域名是: 。 当然技术也很重要,但是需要建立网站的人与专门搞建立网站技术的人是不一样的,所以不要听那些搞技术的人所指的道路,他们是要将你变成一个技术人员,你真的将目标锁定于网站技术了?冷静地想一想。
个人网站一般希望少花钱,但是一分钱不花恐怕办不到,因为即使申请一个最便宜的域名也要1元钱,我介绍的办法大约在三五十元可以达到目的,虽然免费的二级域名是免费的,但那东西建议你不要用,我是上过当了,网上也有什么免费的空间,同样也有这样那样的问题。
我自己也建立网站,用的是非常简单的技术,介绍你看一个小网站,( 而我知道许多人同我一样,只是希望简单地用一下这个技术,建立一个自己的网站,因为互联网的主要精神就是开放的精神,我们不能总是读别人的东西,我们也要在这个领域中展现我们自己。不能将许许多多人排斥在互联网这个现代文明的门外。
- 上一篇: 网络连接错误代码104怎么解决?
- 下一篇: 返回列表