freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

08web編程安全(編輯修改稿)

2025-02-12 13:40 本頁面
 

【文章內(nèi)容簡介】 idden的選項,它是隱藏在網(wǎng)頁中的的一個表單元素,并不在網(wǎng)頁中顯示出來,但是可以設(shè)置一些值。 于是 formP1代碼可以改為 運行,效果為: 傳的值就被隱藏起來了。 點擊 ,到達 formP2,效果為: 但是,此時瀏覽器地址欄上的地址仍為: 數(shù)據(jù)還是能夠被看到。 解決該問題的方法是將 form的 action屬性設(shè)置為 post(默認為 get)。于是,formP1的代碼變?yōu)椋? 再點擊,在 formP2中正常顯示結(jié)果,此時,瀏覽器地址欄上的 URL為: 這說明,可以順利實現(xiàn)值的傳遞,并且無法看到傳遞的信息。 該方法有如下問題: 1:和 URL方法類似,該方法傳輸?shù)臄?shù)據(jù), 也只能是字符串,對數(shù)據(jù)類型具有一定限制; 2:傳輸數(shù)據(jù)的值雖然可以保證在瀏覽器地址欄內(nèi)不被看到,但是在 客戶端源代碼里面也會被看到 。如上例子,在 ,打開其源代碼,如下: 在 input type=hidden name=number value=12中,要傳遞的number值被顯示出來了。因此,從保密的角度講,這也是不安全的。特別是秘密性要求很嚴(yán)格的數(shù)據(jù) (如密碼 ),也不推薦用表單方法來傳值。 該數(shù)字的平方為: 144HR form action= method=post input type=hidden name=number value=12 input type=submit value=到達 formP2 /form 問題 該隱藏表單中隱藏的內(nèi)容非常直觀, 可以從客戶端源代碼中看到學(xué)號和課程編號 ,因此,給了攻擊者機會,攻擊者可以在客戶端通過修改源代碼來修改任意學(xué)生的成績:如將客戶端源代碼改為: 就可以修改 0016學(xué)生的語文成績了!同樣,更為嚴(yán)重的問題是,如果網(wǎng)站足夠不安全的話,攻擊者可以不用登陸,隨意設(shè)計表單來訪問你的頁面。 請您輸入張海的語文成績 (可修改 ): form action=目標(biāo)頁面路徑 method=post 輸入成績: input type=text name=score input type=hidden name=stuno value=0016 input type=hidden name=courseno value=YW input type=submit value=修改 /form Cookie方法 在頁面之間傳遞數(shù)據(jù)的過程中, Cookie是一種常見的方法。Cookie是一個小的文本數(shù)據(jù),由服務(wù)器端生成,發(fā)送給客戶端瀏覽器,客戶端瀏覽器如果設(shè)置為啟用 cookie,則會將這個小文本數(shù)據(jù)保存到其某個目錄下的文本文件內(nèi)。 客戶端下次登錄同一網(wǎng)站,瀏覽器則會自動將 Cookie讀入之后,傳給服務(wù)器端。服務(wù)器端可以對該 Cookie進行讀取并驗證 (當(dāng)然也可以不讀取 )。一般情況下, Cookie中的值是以keyvalue的形式進行表達的。 Cookie方法 基于這個原理,上面的例子可以用 Cookie來進行。即:在第一個頁面中,將要共享的變量值保存在客戶端 Cookie文件內(nèi),在客戶端訪問第二個頁面時,由于瀏覽器自動將 Cookie讀入之后,傳給服務(wù)器端,因此只需要第二個頁面中,由服務(wù)器端頁面讀取這個 Cookie值即可。 不同的語言中對 Cookie有不同的操作方法,下面以 JSP為例,來編寫代碼。 看頁面一的代碼 。 運行,顯示結(jié)果為: 頁面上有一個鏈接到達 點擊 cookieP1中的鏈接,到達 cookieP2,效果為: 也能夠得到結(jié)果。 存在的問題 在客戶端的瀏覽器上,我們看不到任何的和傳遞的值相關(guān)的信息,說明 在客戶端瀏覽器中, Cookie中的數(shù)據(jù)是安全的。 但是就此也不能說 Cookie是完全安全的。因為 Cookie是以文件形式保存在客戶端的,客戶端存儲的 Cookie文件就可能敵方獲知。在本例中,內(nèi)容被保存在Cookie文件,如果使用的是 windows XP, C盤是系統(tǒng)盤,該文件保存在:C:\Documents and Settings\當(dāng)前用戶名 \Cookies下。打開該目錄,可以看到里面有一個文件: 打開那個文本文件,內(nèi)容為: number的值 12可以被很清楚地找到。 很明顯, Cookie也不是絕對安全的。如果將用戶名、密碼等敏感信息保存在 Cookie內(nèi),在用戶離開客戶機時不注意清空,這些信息容易泄露,因此Cookie在保存敏感信息方面具有潛在危險。 解決 Cookie安全的方法有很多,常見的有以下幾種: ? 1:替代 cookie。將數(shù)據(jù)保存在服務(wù)器端,可選的是session方案; ? 2:及時刪除 cookie。要刪除一個已經(jīng)存在的 Cookie,有以下幾種方法: ? 給一個 Cookie賦以空置; ? 設(shè)置 Cookie的失效時間為當(dāng)前時間,讓該 Cookie在當(dāng)前頁面的瀏覽完之后就被刪除了; ?通過瀏覽器刪除 Cookie。如在 IE中,可以選擇“工具” ——“Inter選項” ——“常規(guī)”,在里面點擊“刪除 Cookies”,就可以刪除文件夾中的 Cookie。如圖所示: ? 4:禁用 Cookie。很多瀏覽器中都設(shè)置了禁用 Cookie的方法,如 IE中,可以在 “工具 ”——“Inter選項 ”——“隱私 ”中,將隱私級別設(shè)置為禁用 Cookie,如圖所示: session方法 前面幾種方法在傳遞數(shù)據(jù)時,有一個共同的問題是內(nèi)容都保存在客戶端,因為具有泄露的危險性。如果在不考慮服務(wù)器負載的情況下, 將數(shù)據(jù)保存在服務(wù)器端,是一個較好的方案,這就是 session方法 。 本質(zhì)上講, 會話 (session)的含義是指某個用戶在網(wǎng)站上的有始有終的一系列動作的集合 。例如,用戶在訪問網(wǎng)站時,session就是指從用戶登入站點到到關(guān)閉瀏覽器所經(jīng)過的這段過程。 session中的數(shù)據(jù)可以被同一個客戶在網(wǎng)站的一次會話
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1