freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

web編程安全(編輯修改稿)

2025-03-30 22:05 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 網(wǎng)頁(yè)制作中, input有一個(gè) type=hidden的選項(xiàng),它是隱藏在網(wǎng)頁(yè)中的的一個(gè)表單元素,并不在網(wǎng)頁(yè)中顯示出來(lái),但是可以設(shè)置一些值。 于是 formP1代碼可以改為 運(yùn)行,效果為: 傳的值就被隱藏起來(lái)了。 點(diǎn)擊 ,到達(dá) formP2,效果為: 但是,此時(shí)瀏覽器地址欄上的地址仍為: 數(shù)據(jù)還是能夠被看到。 解決該問題的方法是將 form的 action屬性設(shè)置為 post(默認(rèn)為 get)。于是,formP1的代碼變?yōu)椋? 再點(diǎn)擊,在 formP2中正常顯示結(jié)果,此時(shí),瀏覽器地址欄上的 URL為: 這說明,可以順利實(shí)現(xiàn)值的傳遞,并且無(wú)法看到傳遞的信息。 該方法有如下問題: 1:和 URL方法類似,該方法傳輸?shù)臄?shù)據(jù), 也只能是字符串,對(duì)數(shù)據(jù)類型具有一定限制; 2:傳輸數(shù)據(jù)的值雖然可以保證在瀏覽器地址欄內(nèi)不被看到,但是在 客戶端源代碼里面也會(huì)被看到 。如上例子,在 ,打開其源代碼,如下: 在 input type=hidden name=number value=12中,要傳遞的number值被顯示出來(lái)了。因此,從保密的角度講,這也是不安全的。特別是秘密性要求很嚴(yán)格的數(shù)據(jù) (如密碼 ),也不推薦用表單方法來(lái)傳值。 該數(shù)字的平方為: 144HR form action= method=post input type=hidden name=number value=12 input type=submit value=到達(dá) formP2 /form 問題 該隱藏表單中隱藏的內(nèi)容非常直觀, 可以從客戶端源代碼中看到學(xué)號(hào)和課程編號(hào) ,因此,給了攻擊者機(jī)會(huì),攻擊者可以在客戶端通過修改源代碼來(lái)修改任意學(xué)生的成績(jī):如將客戶端源代碼改為: 就可以修改 0016學(xué)生的語(yǔ)文成績(jī)了!同樣,更為嚴(yán)重的問題是,如果網(wǎng)站足夠不安全的話,攻擊者可以不用登陸,隨意設(shè)計(jì)表單來(lái)訪問你的頁(yè)面。 請(qǐng)您輸入張海的語(yǔ)文成績(jī) (可修改 ): form action=目標(biāo)頁(yè)面路徑 method=post 輸入成績(jī): input type=text name=score input type=hidden name=stuno value=0016 input type=hidden name=courseno value=YW input type=submit value=修改 /form Cookie方法 在頁(yè)面之間傳遞數(shù)據(jù)的過程中, Cookie是一種常見的方法。Cookie是一個(gè)小的文本數(shù)據(jù),由服務(wù)器端生成,發(fā)送給客戶端瀏覽器,客戶端瀏覽器如果設(shè)置為啟用 cookie,則會(huì)將這個(gè)小文本數(shù)據(jù)保存到其某個(gè)目錄下的文本文件內(nèi)。 客戶端下次登錄同一網(wǎng)站,瀏覽器則會(huì)自動(dòng)將 Cookie讀入之后,傳給服務(wù)器端。服務(wù)器端可以對(duì)該 Cookie進(jìn)行讀取并驗(yàn)證 (當(dāng)然也可以不讀取 )。一般情況下, Cookie中的值是以keyvalue的形式進(jìn)行表達(dá)的。 Cookie方法 基于這個(gè)原理,上面的例子可以用 Cookie來(lái)進(jìn)行。即:在第一個(gè)頁(yè)面中,將要共享的變量值保存在客戶端 Cookie文件內(nèi),在客戶端訪問第二個(gè)頁(yè)面時(shí),由于瀏覽器自動(dòng)將 Cookie讀入之后,傳給服務(wù)器端,因此只需要第二個(gè)頁(yè)面中,由服務(wù)器端頁(yè)面讀取這個(gè) Cookie值即可。 不同的語(yǔ)言中對(duì) Cookie有不同的操作方法,下面以 JSP為例,來(lái)編寫代碼。 看頁(yè)面一的代碼 。 運(yùn)行,顯示結(jié)果為: 頁(yè)面上有一個(gè)鏈接到達(dá) 點(diǎn)擊 cookieP1中的鏈接,到達(dá) cookieP2,效果為: 也能夠得到結(jié)果。 存在的問題 在客戶端的瀏覽器上,我們看不到任何的和傳遞的值相關(guān)的信息,說明 在客戶端瀏覽器中, Cookie中的數(shù)據(jù)是安全的。 但是就此也不能說 Cookie是完全安全的。因?yàn)?Cookie是以文件形式保存在客戶端的,客戶端存儲(chǔ)的 Cookie文件就可能敵方獲知。在本例中,內(nèi)容被保存在Cookie文件,如果使用的是 windows XP, C盤是系統(tǒng)盤,該文件保存在:C:\Documents and Settings\當(dāng)前用戶名 \Cookies下。打開該目錄,可以看到里面有一個(gè)文件: 打開那個(gè)文本文件,內(nèi)容為: number的值 12可以被很清楚地找到。 很明顯, Cookie也不是絕對(duì)安全的。如果將用戶名、密碼等敏感信息保存在 Cookie內(nèi),在用戶離開客戶機(jī)時(shí)不注意清空,這些信息容易泄露,因此Cookie在保存敏感信息方面具有潛在危險(xiǎn)。 解決 Cookie安全的方法有很多,常見的有以下幾種: ? 1:替代 cookie。將數(shù)據(jù)保存在服務(wù)器端,可選的是session方案; ? 2:及時(shí)刪除 cookie。要?jiǎng)h除一個(gè)已經(jīng)存在的 Cookie,有以下幾種方法: ? 給一個(gè) Cookie賦以空置; ? 設(shè)置 Cookie的失效時(shí)間為當(dāng)前時(shí)間,讓該 Cookie在當(dāng)前頁(yè)面的瀏覽完之后就被刪除了; ?通過瀏覽器刪除 Cookie。如在 IE中,可以選擇“工具” ——“Inter選項(xiàng)” ——“常規(guī)”,在里面點(diǎn)擊“刪除 Cookies”,就可以刪除文件夾中的 Cookie。如圖所示: ? 4:禁用 Cookie。很多瀏覽器中都設(shè)置了禁用 Cookie的方法,如 IE中,可以在 “工具 ”——“Inter選項(xiàng) ”——“隱私 ”中,將隱私級(jí)別設(shè)置為禁用 Cookie,如圖所示: session方法 前面幾種方法在傳遞數(shù)據(jù)時(shí),有一個(gè)共同的問題是內(nèi)容都保存在客戶端,因?yàn)榫哂行孤兜奈kU(xiǎn)性。如果在不考慮服務(wù)器負(fù)載的情況下, 將數(shù)據(jù)保存在服務(wù)器端,是一個(gè)較好的方案,這就是 session方法 。 本質(zhì)上講, 會(huì)話 (session)的含義是指某個(gè)用戶在網(wǎng)站上的有始有終的一系列動(dòng)作的集合 。例如,用戶在訪問網(wǎng)站時(shí),session就是指從用戶登入站點(diǎn)到到關(guān)閉瀏覽器所經(jīng)過的這段
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1