在http請求/響應過程中可以完成哪些重要的驗證/處理以保護Web應用程序免遭跨站點腳本跨站點請求僞造和任何其他安全攻擊等漏洞的攻擊?HTTP請求/響應期間的重要驗證
1
A
回答
2
有很多關於這個話題的書籍,基本上歸結爲垃圾,垃圾。需要考慮的事情:
- 驗證他們去
- 逃亡串之前到處理系統像SQL服務器
- 不允許服務器或客戶端代碼注入
eval()
過度使用任何載體都輸入惡意標記 - 到IP綁定地址的會話趕上會話劫持
- 使用SSL如果需要,並確保用戶都知道的密碼上的風險
- 限制的嘗試,也不要下載ectly公開信息,即「我們有你的用戶名,但密碼不正確」
- 使用簽署餅乾
- 僅包括來自可信和可覈查的第三方源
- 使用「我是人」的驗證,如驗證碼
- 要知道蜘蛛爬行通過您的網站
的不勝枚舉上,併爲你獲得更多的事情要考慮每一項新技術。底線,有一個安全態度,看起來像攻擊者會的東西。你將如何破解你自己的網站?如果你不能回答這個問題,你需要能夠閱讀某些書籍的somone的幫助。
+0
謝謝艾登貝爾的評論。 其實我們正計劃編寫一個單一的函數來爲我們的Web應用程序中的任何Web請求提供服務。 因此,我們試圖找出所有可能的安全漏洞,並試圖阻止它們在那個函數中。我們已經處理了SQL注入攻擊,跨站點腳本攻擊。 我只是想知道哪些其他最重要的安全攻擊類型可以在該功能中處理 – user377435 2010-01-27 15:22:54
相關問題
- 1. 驗證請求的HTTP響應
- 2. 發送HTTP請求(驗證請求)
- 3. 驗證iPhone HTTP請求
- 4. 根據請求驗證ajax響應
- 5. HTTP請求+響應名稱
- 6. Http請求響應調試
- 7. 帶出HTTP請求的HTTP響應
- 8. 響應重定向vs http請求獲取響應
- 9. http請求的白名單驗證
- 10. 需要驗證第二個基於python的第一個請求的HTTP請求
- 11. 來自clojure的http請求的摘要式驗證(?)
- 12. AJAX請求的HTTP摘要認證
- 13. HttpCore的HTTP請求/響應的流程
- 14. devstack錯誤:您提出的請求需要驗證。 (HTTP 401)
- 15. weblogic響應請求時間
- 16. PHP有響應的異步HTTP請求
- 17. HTTP頭400錯誤的請求響應
- 18. EC2-無響應的http請求
- 19. Http請求和codeigniter中的響應
- 20. 編碼的Http請求/響應主體
- 21. servlet中的非http請求和響應
- 22. 對http請求的響應超時
- 23. IIS http請求身份驗證問題
- 24. HTTP身份驗證和SOAP請求
- 25. 無法驗證HTTP GET請求Node.js + Expressjs
- 26. 正在驗證Raspberry Pi http請求
- 27. NodeJS API HTTP POST請求身份驗證
- 28. 使用設備來驗證HTTP請求
- 29. 驗證服務器發送HTTP請求
- 30. 檢索http請求的日期/時間
請嘗試使您的摘要更加簡潔。 – 2010-01-27 15:12:35
好問題,但它需要少一點在主題和更多的在主體 – jcollum 2010-01-27 15:12:42
感謝您的意見,他們真的很有幫助,因爲這是我的第一篇文章在堆棧溢出:) – user377435 2010-01-27 15:36:58