CSRFとXSS防犯

696 ワード

CSRF攻撃予防:
ページにアクセスすると、サービス側はランダムにtokenを生成し、ページPOST要求すると、そのtokenを持ってきて、サービス側はこのtokenが有効かどうかを検証し、tokenはheaderまたは要求パラメータに入れることができる.ajaxリクエストを使用する場合は、beforeSendメソッドを使用してheaderパラメータを設定できます.
$.ajax({
    url:'formsubmit.do',
    data:{"id":id},
    dataType:'json',
    beforeSend:function(xhr){
        xhr.setRequestHeader("_csrf_token",$('meta[name='_csrf']').attr('context'));
    },
    success:function(){
    }
});

ブロッキングまたはフィルタ取得ヘッダの設定_csrf_tokenの値は、サーバのtokenと比較されます.
XSS攻撃予防:
Filterまたはブロッカーで特殊文字をフィルタします.
次はネットで見つけた文章で、よく書いて、記録します.http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html