这篇文章是我在博客园发过的,转到这里来的,虽不算什么高深的东西,但至少也算一点点小经验,分享分享吧,如果您是高手,而且您还有点时间,那么请你耐心看完整篇文章,然后再帮忙指点指点,留下您的经验,我也好学习学习。链接中的例子是一些脚本攻击相关的内容,有时间的朋友可以点开看看。
1.不要相信Request.QueryString:
相信在asp时代,这个问题比较严重,不信,随便到网络上找几个asp的企业站,找到这种url"view.asp?id=xxx",改成"view.asp?id=xxx or 1=1",相信你会看到不一样的东西,到了.net,应该很少了,不过上次看到有人说CSDN爆过哦,简单的解决方法是在取得数据时做数据类型验证或转换。比如:
int ViewID = 0;
if(int.TryParse(Request.QueryString["ID"], out ViewID)){
//...
}
2.不要相信maxlength:
有时候我们想客户端输入的某个值不超过一定的长度,这个时候可能就会用到input的maxlength,但maxlength能100%保证这个值的长度不超过maxlength吗?请点击链接看看例子。
显然,maxlength是不可信的,简单的解决办法是后台代码验证数据长度:
string UserName = Request.QueryString["UserName"];
if(!string.IsNullOrEmpty(UserName)&&UserName.length > x){
//...提示错误或截断数据
}
3.不要相信Hidden:
有时候我们想把些信息保存到前台页面,然后再发送回来,但是我们又不想让客户看到这个信息,于是,我们把数据放到了hidden里面,那客户提交数据时,hidden里的内容真的是我们放的内容吗?请点击链接看看例子。
这个我一时也没想到好的验证方法,暂时也没有特殊的需求说必须验证。
4.不要相信客户端验证:
比如2和3中的问题,可能有的朋友觉得,我客户端再加个验证不就OK了吗?可是,往往,客户端验证也是不安全的,首先,如果客户端禁用脚本,那客户端验证是完全失效的,另外,在脚本有效的情况下,脚本验证也是可以被篡改的。请点击链接看看例子。
以前QQ空间里可以通过这个方法免费使用黄钻模板,不知道现在还有没有。这个就没有什么好的解决办法,只能后台再验证一次。
5.不要相信编辑器:
有的时候,可能项目中要用到一些简单的编辑器,于是,我们就找到了一些编辑器,把不需要的功能(比如:编辑源码、插入图片等)剔除掉,就成了个简单的编辑器,那这样的编辑器还会有什么问题吗?请点击链接看看例子。
暂时也没有什么好的解决办法,以前找到过过滤script标签的代码,但似乎不太完美。
6.不要相信Cookie:
网站中不可避免的会使用到Cookie,但如果一不注意,小心你的Cookie成了别人的"Cookie",请点击链接看看例子。
取Cookie和写Cookie的js方法是在网上找到的,具体链接也找不到了。解决办法,似乎是Cookie加密(当然,即使是加密了,也尽量不要把敏感数据放到Cookie中),不知道各位高手还有没有其它好办法。
7.不要相信Request.UrlReferrer:
如果有朋友用这个来验证请求,那么请注意了,这个东西也是不可信的。见代码;
System.Net.HttpWebRequest request = System.Net.WebRequest.Create("http://www.cnblogs.com/") as System.Net.HttpWebRequest;
request.Referer = "http://www.cnblogs.com/";
...
那么,这个时候你取得的Urlreferrer会是http://www.cnblogs.com/,但这个请求却是伪造的。
8.不要相信用户:
用户就是你潜在的威胁,客户端的东西,永远都不要轻信。
另,select标签的内容也是不可信的,大家可以动手试试,随便建个页面,里面放个select,然后:
欢迎高手不吝赐教。示例代码下载。
http://www.yomeier.com/,最近发布的一个项目,主要销售品牌化妆品和行货手机,有需要的朋友可以看看。
最近需要针对这个项目学习点SEO和网站推广方面的知识,不知道园子里有没有这方面的高手可以指点一下,万分感谢!
分享到:
相关推荐
不要相信旺旺上自称“淘宝客服人员”的骗子~汇编.pdf
根据给定的信息,我们可以推断出这是一篇关于Java 2 Micro Edition (J2ME)的文章,主要聚焦...尽管原始代码中存在一些错误和不清晰的部分,但通过对上述内容的整理和解释,相信读者能够更好地理解J2ME的相关知识点。
这强调了保持独立思考和个性的重要性,不要盲目跟从他人,要有自己的方向和判断。 总结:文章通过励志故事和哲理故事传达了自信心、自我认知、量力而行以及追求目标时的理智态度等核心观念。这些知识点提醒我们在...
本章强调了了解自己和他人的重要性,学习他人的长处和短处,并且提醒我们不要轻易相信他人。 3. 相逢好似初相识,到老终无怨恨心。近水知鱼性,近山识鸟音。易涨易退山溪水,易反易复小人心。 本章讲述了人生的...
6. **面对困境**:“抛开苦恼,英勇的大步向前”,教导我们在遇到困难时要勇敢面对,不要被困扰所束缚。 7. **生活新鲜感**:“有你在我四周,让生活更新鲜”,强调了人际关系对生活质量的影响,有朋友和爱人的陪伴...
5. 独立思考,相信自己的判断:在面对选择时,要有自己的见解,不要盲目跟从他人。 这些知识点不仅适用于小学三年级的学生,对于所有年龄段的人来说,都有重要的启示作用。在日常生活和学习中,我们都应培养自信,...
当你开始阅读这篇文章时,请先不要把Visual Studio Code和.net、Windows联想到一起,因为VS Code是一个跨平台,支持30多种语言的开箱代码编辑器。不管你是.Net、Java、PHP、Python、TypeScript、Objective-C......
教学目的是让幼儿了解如何对待陌生人,避免危险情况,如不轻易相信陌生人的话,不跟随陌生人离开。教学过程中,通过案例报告引导孩子们思考和讨论,培养他们的判断力和自我保护能力。 **详细知识点解析:** 1. **...
- **请勿保存,如触及到法律,本人概不负责,如喜欢请购买正版**:提醒读者尊重版权,不要保存未经授权的电子文件,如果对该书籍感兴趣,应该购买正版书籍。 #### 知识点详解: ### 1. SCJP 认证概述 - **SCJP ...
郁闷啊,有时候不得不承认,无论是什么事,曾经是好的...这么纠结就是因为之前有汉字,各种操作,各种 发布流程 都是 成功的,怎么也不愿意相信是因为路径的问题,百度查到原因说是路径有中文,就是钻牛角尖(以前都行,
2. **不轻信陌生人**:不要随便相信自称认识家人或朋友的陌生人,尤其是在未经核实的情况下。 3. **沟通技巧**:小明通过对话试图确认陌生人的身份,并提出合理的建议,展示出与陌生人交流时的智慧。 4. **求助...
此份资源是针对人教版小学五年级上学期《品德与社会》课程中的"请你相信我"这一主题的课件第三小结,旨在培养学生的诚信意识和社会交往能力。课程通过不同的案例和故事,让学生理解诚信的重要性,学会在实际生活中...
【简历制作要点】 在制作彩色简历时,首先要注重整体布局和设计,确保视觉效果吸引人...同时,简历内容的真实性至关重要,不要夸大或虚构经历,以免影响信任度。最后,记得检查拼写和语法错误,确保简历的整洁和专业。
【幼儿园教案:不要跟陌生人走】是一份针对小班幼儿的安全教育教案,旨在培养孩子们对陌生人的警惕性和自我保护意识。这份教案的核心是通过生动的教学方法,让幼儿理解并掌握在面对陌生人时应有的行为准则。 一、...
下载的压缩包属性中有eiiwa.vicp.net的数字签名,请不要相信没有签名的压缩包和可执行文件。 压缩包内容、来源: 虚拟声卡示波器2001 http://www.winwin7.com/soft/30135.html 虚拟声卡示波器v0.94(2002) ...
- 在商场或公共场合走失,孩子应留在原地或寻找工作人员帮助,不随便相信陌生人。 - 被车辆意外碰撞后,如果陌生人提出送医,孩子应要求在学校或公共场所等待家长到来,或者拨打120求助。 6. **培养聪明机智的...
10. **隐私保护**:始终尊重用户隐私,不要在未经用户同意的情况下访问或上传他们的照片。确保在不使用时释放照片库的访问权限,避免不必要的权限滥用。 通过掌握以上知识点,开发者可以有效地使用PHAsset框架来...
that-clause - 让某人相信... 与persuade相关的短语和动词还有: - talk sb. into/out of doing sth. - 劝说某人做/不做某事。 - reason sb. into/out of doing sth. - 说服某人做/不做某事。 - trick sb. into/...
1. 不要轻易相信陌生电话或短信。 2. 不要提供个人信息,包括银行卡信息。 3. 不要汇款或转账给陌生人。 4. 及时报警,如遇到可疑电话或短信。 预防电信诈骗网络诈骗模板的案例写真: 案例1:冒充国家相关工作人员...
4. 迷信消灾诈骗:不要相信陌生人关于家庭灾难的预言,尤其是要求支付费用请“大师”化解的。 5. 短信中奖欺诈:收到中奖信息时,核实来源,不要轻易转账支付所谓的手续费。 6. 车辆退税诈骗:不要相信未经官方...