CSRFとXSS防犯
696 ワード
CSRF攻撃予防:
ページにアクセスすると、サービス側はランダムにtokenを生成し、ページPOST要求すると、そのtokenを持ってきて、サービス側はこのtokenが有効かどうかを検証し、tokenはheaderまたは要求パラメータに入れることができる.ajaxリクエストを使用する場合は、beforeSendメソッドを使用してheaderパラメータを設定できます.
ブロッキングまたはフィルタ取得ヘッダの設定_csrf_tokenの値は、サーバのtokenと比較されます.
XSS攻撃予防:
Filterまたはブロッカーで特殊文字をフィルタします.
次はネットで見つけた文章で、よく書いて、記録します.http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html
ページにアクセスすると、サービス側はランダムにtokenを生成し、ページPOST要求すると、そのtokenを持ってきて、サービス側はこのtokenが有効かどうかを検証し、tokenはheaderまたは要求パラメータに入れることができる.ajaxリクエストを使用する場合は、beforeSendメソッドを使用してheaderパラメータを設定できます.
$.ajax({
url:'formsubmit.do',
data:{"id":id},
dataType:'json',
beforeSend:function(xhr){
xhr.setRequestHeader("_csrf_token",$('meta[name='_csrf']').attr('context'));
},
success:function(){
}
});
ブロッキングまたはフィルタ取得ヘッダの設定_csrf_tokenの値は、サーバのtokenと比較されます.
XSS攻撃予防:
Filterまたはブロッカーで特殊文字をフィルタします.
次はネットで見つけた文章で、よく書いて、記録します.http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html