標簽‘web’

為你的Express應用增加CSRF防護

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為"One Click Attack"或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。

眾所周知,Web系統并沒有絕對的安全,就比如我們公司年前遇到的情況,有些惡心網站通過網絡抓包等手段,截取驗證碼發送接口,通過偽造請求實現了傳入任意手機號并發送驗證碼的功能,雖然這看起來并沒有什么用,但當這些不法分子拔了成百上千個接口后,就形成了一個瘋狂的短信轟炸機,對于服務提供者,這些地下網站只要有人使用,就會不斷得消耗短信費用,給企業帶來不必要的損失。 查看更多...

XSS攻擊的原理

近來又在論壇看到有xss的通知,由于概念模糊,就掃下盲,順便轉些東西過來了。

概念說明

Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意html標簽或者javascript代碼,當用戶瀏覽該頁或者進行某些操作時,攻擊者利用用戶對原網站的信任,誘騙用戶或瀏覽器執行一些不安全的操作或者向其它網站提交用戶的私密信息。
比如:攻擊者在論壇中放一個看似安全的鏈接,騙取用戶點擊后,竊取cookie中的用戶私密信息;或者攻擊者在論壇中加一個惡意表單,當用戶提交表單的時候,卻把信息傳送到攻擊者的服務器中,而不是用戶原本以為的信任站點。
諸如此類,唯一能完全杜絕xss攻擊的方法,就是禁用script,img等,顯然這是不靠譜的,用戶需要豐富的頁面內容;當然我們可以用一些方法預防xss攻擊,盡量減少xss造成的危害。

XSS攻擊的危害包括 查看更多...

GWT框架下進行Ajax開發基礎實例

從事Web開發的人員一般都接觸過,在我看來,Ajax的立意很好,我比較感興趣的就是Ajax在某些應用場合可以有效降低服務器負載,可以局部刷新,所以可以說Javascript+XMLhttp是Web開發中不可或缺的好東西。Ajax雖好,但它這要求開發團隊能熟練使用Javascript,這是一個障礙。目前狀況是,團隊的成員明顯對深入學習Javascript的意愿不高。因此,各類簡化了的Javascript框架出現了。

眾所周知,Google產品設計面非常廣,這里要介紹的就是Google發布的面向Java開發人員的Ajax快速開發工具——GWT(Google Web Toolkit),Ajax技術是當前開發Web應用的非常熱門的技術,也是Web 2.0的一個重要的組成部分。然而如果用傳統的方式Javascript進行Ajax開發的話,就會使得應用程序非常難以進行調試,從而降低了生產效率。

Google最近推出的GWT有望為我們解決這個難題,GWT是一個開發Ajax應用的框架,它使程序員用Java同時開發客戶端和服務器端的代碼。 查看更多...

JQuery Mobile框架使用技巧幾則

個人認為,JQuery Mobile是一個非常好的框架,雖然我暫時沒接觸過Sencha Touch,但據說學習成本要比JQuery Mobile大很多,從目前Web應用UI框架選擇少的情況來看,JQuery Mobile是最好的選擇了。

JQuery本身就已經是一個成熟的框架了,JQuery Mobile作為它的附屬品,繼承了write less,do more的傳統。但是作為一個新興起的項目,毛病也是有不少。以下是一些常見問題的解決小技巧,希望做移動Web應用的朋友能用得著。

1.頁面跳轉時,當前頁會先回到頂部,再跳轉到目標頁
相信在JQuery Mobile 1.1.0 版本出來之前,每個人都會遇到的問題。 查看更多...

Responsive Web design(響應式網頁設計)

所謂Responsive Web design(響應式網頁設計),通俗的說,就是可以自適應的網頁設計。隨著3G的普及,越來越多的人使用手機上網。移動設備正超過桌面設備,成為訪問互聯網的最常見終端。于是,網頁設計師不得不面對一個難題:如何才能在不同大小的設備上呈現同樣的網頁?目前各大網站、博客已經有向此方向改變的趨勢,我們也得及時做下了解。

手機的屏幕比較小,寬度通常在600像素以下;PC的屏幕寬度,一般都在1000像素以上(目前主流寬度是1366×768),有的還達到了2000像素。同樣的內容,要在大小迥異的屏幕上,都呈現出滿意的效果,并不是一件容易的事。 查看更多...

整合Spring與Struts1的三種方法總結

1.使用Spring 的 ActionSupport 。
2.使用Spring 的 DelegatingRequestProcessor 類。
3.全權委托。

無論用那種方法來整合第一步就是要為struts來裝載spring的應用環境。 就是在 struts 中加入一個插件。struts-config.xml中

<plug-in className="org.springframework.web.struts.ContextLoaderPlugIn">
<set-property property="contextConfigLocation" value="/WEB-INF/applicationContext.xml"></set-property>
</plug-in>

spring 的配置文件被作為參數配置進來。這樣可以省略對web.xml 文件中的配置。確保你的applicationContext.xml 在WEB-INF目錄下面 查看更多...

JavaWeb入門,servlet的常見錯誤匯總

最常見的路徑錯誤,只要你深刻理解了下面的要點,你就能夠順利解決。

在訪問時,url地址是: http://localhost:port/項目名稱/web.xml中配置的里的內容
后面不用再加servlet的名字了 ,因為url-pattern里的就是訪問servlet的相對路徑,只要訪問url中的和 配置文件中的 保持一致就行了...
另外,中的類名,如果該類是在一個包里的話,則應為:包名.類名。

常見錯誤:
500 是Server Error
400 是Clinet Error
300 Route change
200 OK

應答代碼,雖然是SIP的但同樣適用于HTTP,只是加了一些東西
查看更多...

JSP開發環境配置全解(網絡篇)

前面收集整理了本地配置jsp開發環境的步驟,這里又為大家整理出了網絡版,因為windows系統的配置跟本地大同小異,這里不再贅述,就為大家整理了目前常見的網頁應用服務器Linux系統上進行配置的步驟。一般Web服務器是由apache提供的,這里就以apache為例,搭建JSP環境。目標對象可以是Linux的VPS或者獨立主機,本次操作系統是RHEL6.1X64位系統,如果需要本地配置請參考小子整理的《JSP開發環境配置全解(本地篇)

第一步,安裝java環境

注意:如果說,你的環境有JAVA開始的話,要下載JDK,如果只是簡單的JAVA環境,只需要安裝JRE就OK了。 查看更多...

黑龙江22选5开奖