-
可以更改文件类型
查看全部 -
截取数据包然后更改数据再发送会绕过校验,上传非法文件
查看全部 -
上传文件必须判断类型,防止该文件是脚本或者病毒
查看全部 -
当在mysql中预处理时,会发送两份数据
查看全部 -
当字符集是gbk时,会把df5c认为是一个数字,原本返回ASCII为5c的值\就会失效,27单引号没被转义就会被攻击
查看全部 -
把csrfToken值加密后发送给浏览器cookie,不加密发送给表单隐藏域,表单提交后对表单csrf值加密的数据和cookie数据是否一致。一致才能提交成功。
查看全部 -
视图中需要有名为_csrf的隐藏表单
查看全部 -
控制器里生成csrftoken变量的值并赋值给表单
查看全部 -
防范csrf攻击有三种方式,第一种是验证码,但会降低用户体验,一般不用,第二种获取请求的refer,请求地址是否正确,最后一种是服务器随机生成字符串作为防伪标志并发送给表单的隐藏域,表单提交时对比防伪标识是否一致,相当于令牌验证。
查看全部 -
post型跨站脚本请求伪造
查看全部 -
get方式跨站请求伪造
查看全部 -
YII过滤Javascript代码方法
查看全部 -
YII实体编码方法
查看全部 -
JavaScript注入代码
查看全部 -
控制台用unescape()对链接地址解码,发现包含js地址
查看全部 -
js worm蠕虫以指数级感染
查看全部 -
XSS攻击一般是注入img或者input等标签里而不是JavaScript标签
查看全部
举报
0/150
提交
取消