首页
前端
JavaScript
CSS
前端开发
App 开发
后端
Node.js
MySQL
后端其他
开发
开发工具
运维
算法
云服务
设计
UI 设计
软件技巧
我的手绘
AI
AI 对话
AI 绘画
关于
搜索一下
搜索
首页
前端
JavaScript
CSS
前端开发
App 开发
后端
Node.js
MySQL
后端其他
开发
开发工具
运维
算法
云服务
设计
UI 设计
软件技巧
我的手绘
AI
AI 对话
AI 绘画
关于
登录
注册
首页
>
标签
>
安全
Node.js
CRSF 跨站脚本攻击已死,使用 Same-Site Cookies 来防范 CSRF
跨站请求伪造,也称为CSRF或XSRF,基本上永远存在。 它源于网站必须向另一个站点发出请求的简单功能。 假设我在 https://a.com 面中嵌入了以下表单。 form action="https://your-bank.com/transfer" method="POST" id="stealMoney" input type="hidden"name="to"value="Scott Helme" input type="hidden"name="account"value="14278935" input type="hidden"name="amount"val
admin
2023-07-26
Koa.js,安全
160
Node.js
Koa.js 中间件 koa-csrf
项目地址:https://www.npmjs.com/package/koa-csrf安装:npm install koa-csrf 需要配合session使用:// CSRF 防御 const CSRF = require('koa-csrf'); const csrfMD = new CSRF({ invalidSessionSecretMessage: 'Invalid session secret', invalidTokenMessage: 'Invalid CSRF token', invalidTokenStatusCode: 403, }); router.post
admin
2021-12-15
Koa.js,安全
447
Node.js
使用 “Content Security Policy 网页安全策略” 防御 XSS 攻击
跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。XSS:Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS)。攻击原理是代码被恶意注入到页面中(例如评论),然后其他用户在访问页面时,浏览器执行了代码逻辑。为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提
admin
2021-01-23
安全,Koa.js
877
运维
CentOS 安全
1. 一台 Linux 系统初始化环境后需要做一些什么安全工作?1、添加普通用户登陆,禁止 root 用户登陆,更改 SSH 端口号。修改 SSH 端口不一定绝对哈。当然,如果要暴露在外网,建议改下。2、服务器使用密钥登陆,禁止密码登陆。3、开启防火墙,关闭 SElinux ,根据业务需求设置相应的防火墙规则。4、装 fail2ban 这种防止 SSH 暴力破击的软件。5、设置只允许公司办公网出口 IP 能登陆服务器(看公司实际需要)也可以安装 VPN 等软件,只允许连接 VPN 到服务器上。6、修改历史命令记录的条数为 10 条。7、只允许有需要的服务器可以访问外网,其它全部禁止。8、做好软
admin
2020-10-16
Linux,安全
670
算法
后端其他
阿里的后端安全规约
1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容。2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入, 禁止字符串拼接 SQL 访问数据库。反例:某系统签名大量被恶意修改,即是因为对于危险字符 # --没有进行转义,导致数据库更新时,where 后边的信息被注释掉,对全库进行更新。4. 【强制
admin
2020-04-27
安全
799
运维
Windows下,Apache安全防护WAF,安装配置mod_security模块
一,在不改动现有系统任何代码的前提下,防止SQL注入比如下面这个场景:服务器中难免有些安全性比较差的程序,比如使用了老版本的dedecms。或者某个程序引用的第三方插件,在SQL处理上,没有使用参数绑定,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。 二,如何选择市面上的WAF有三种形态,硬件Web防火墙、Web防护软件和云Waf。 最为灵活的方案是选择Web防护软件。 三,安装配置服务器环境Windows server 2008, Apache是PHP官方推荐的Windows二进制版 http://www.apachelo
admin
2018-04-28
Apache,安全
4602
Jone
在什么样的花园里面,挖呀挖呀挖
种什么样的种子,开什么样的花
所有标签
uni-app
Git
FFmpeg
Sass
webpack
Koa.js
HTTP
RESTful API
Apache
nginx
Linux
微信公众号
Windows
macOS
Vue.js
爬虫
正则表达式
npm
TypeScript
单元测试
iconfont
rollup
安全
运维
随机推荐
MySQL 删除逗号分隔字段中的某一个值
如何使用命令修改 MySQL 数据库名称
JavaScript 代码混淆加密工具 javascript-obfuscator
Nginx 通过日志统计访问数据
支持 Selector API 的 HTML 解析器 node-html-parser
MySQL 批量插入数据时如何解决重复问题
Node.js 18.x 开始支持内置单元测试
CRSF 跨站脚本攻击已死,使用 Same-Site Cookies 来防范 CSRF
TypeScript 和 Koa 实践
Node.js MySQL 连接池和事务
微信联系我
夜间模式切换
回到顶部