不灭的焱

革命尚未成功,同志仍须努力

作者:php-note.com  发布于:2015-03-02 22:25  分类:编程基础/Web安全  编辑

JSONP防御措施:

1、严格安全的实现 CSRF 方式调用 JSON 文件:限制 Referer 、部署一次性 Token 等。
2、严格安装 JSON 格式标准输出 Content-Type 及编码( Content-Type : application/json; charset=utf-8 )。
3、严格过滤 callback 函数名及 JSON 里数据的输出。
4、严格限制对 JSONP 输出 callback 函数名的长度(如防御上面 flash 输出的方法)。
5、其他一些比较“猥琐”的方法:如在 Callback 输出之前加入其他字符(如:/**/、回车换行)这样不影响 JSON 文件加载,又能一定程度预防其他文件格式的输出。还比如 Gmail 早起使用 AJAX 的方式获取 JSON ,听过在输出 JSON 之前加入 while(1) ;这样的代码来防止 JS 远程调用。

作者:php-note.com  发布于:2014-03-10 15:40  分类:编程基础/Web安全  编辑

无状态性

Http是一种无状态性的协议。这是因为此种协议不要求浏览器在每次请求中标明它自己的身份,并且浏览器以及服务器之间并没有保持一个持久性的连接用于多个页面之间的访问。当一个用户访问一个站点的时候,用户的浏览器发送一个http请求到服务器,服务器返回给浏览器一个http响应。其实很简单的一个概念,客户端一个请求,服务器端一个回复,这就是整个基于http协议的通讯过程。

作者:php-note.com  发布于:2013-11-24 21:34  分类:编程基础/Web安全  编辑

从安全角度来讲,在开发应用尤其是web应用的时候,所有用户提交的数据都是不安全的,这是基本原则,所以我们才不厌其烦的又是客户端验证又是服务端验证。要解决$_SERVER[’PHP_SELF’]的安全隐患,主要有以下2种方式: 1、htmlentities 2、REQUEST_URI 

 

作者:php-note.com  发布于:2013-11-07 00:46  分类:编程基础/Web安全  编辑

分享2种PHP的源码加密方式,此加密方法支持任意PHP版。

注意,加密后的PHP代码无需第三方工具解密,像往常一样,直接运行即可。

作者:php-note.com  发布于:2013-09-03 10:23  分类:编程基础/Web安全  编辑

1、网络广告中的CPC是什么意思?什么是CPC广告?

回答:根据点击数付费(Cost-Per-Click),联盟会员按照送到商家即广告主网站上游客的量(通常是点击数)来收取一定的费用。网络联盟营销管理系统可以记录下每个客人在联盟会员网站上点击的广告主广告,并链接到广告主网站的次数,广告主按每个点击多少钱的方式支付给联盟会员广告费。

目前Google Adsense,baidu等就采用此方式。这也是网络广告中最常用的一种方式。

作者:php-note.com  发布于:2013-07-23 09:03  分类:编程基础/Web安全  编辑

本文将对HTTP协议进行详细的实例讲解,内容较多,希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便地捕获HTTP Request和HTTP Response, 关于Fiddler工具的用法,请看另一篇博文[Fiddler 教程]

作者:php-note.com  发布于:2013-07-01 21:13  分类:编程基础/Web安全  编辑

XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。
原文如下:

The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, check out http://ha.ckers.org/xss.html. Another excellent site is the XSS Database which details each attack and how it works.
作者:php-note.com  发布于:2013-05-22 11:20  分类:编程基础/Web安全  编辑

HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。

请求报文

一个HTTP请求报文由请求行(request line)请求头部(header)空行和 请求数据 4个部分组成,下图给出了请求报文的一般格式。

作者:php-note.com  发布于:2013-05-15 11:07  分类:编程基础/Web安全  编辑

今天一朋友问了这个问题。

讲了半天,不明白。当时就举了个例子:我们公司内部域中的所有电脑要上外部网络,是都要走过一个电脑的,他能控制我们不能乱上一些网站,从而使我们上班时不能上一些娱乐,视频网站什么的,这个服务器是普通代理,也就是正向代理。(著名的GFW!!!)

作者:php-note.com  发布于:2013-03-29 18:50  分类:编程基础/Web安全  编辑

手机网站一般又称作WAP网站,而传统网站又称作WWW网站。

WAP网站分为又分为WAP1.x 和WAP2.0网站。

WAP1.x功能简单、界面粗糙。

而WAP2.0的手机网站功能和界面都与WWW网站相接近。