个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
如果我们实现 x-frame-options 来防止点击劫持就足够了,还是我们还需要强制提供 framebusting (framekilling) 代码?
我正在关注这篇文章 https://www.owasp.org/index.php/Clickjacking
我认为不支持 x-frame-options 的浏览器需要 framebusting。
最好的问候,
苏拉夫
最佳答案
几乎所有浏览器都很好地支持 X-Frame-Options header ,至少在“拒绝”和“同源”值方面是这样。也许 IE 8+ 和往常一样是最弱点,所以 IE 7 不支持这个 header ,但我认为没有人再针对 IE 7。
参见 here有关浏览器版本支持的详细信息。
所以简而言之,除了 X-Frame-Options 之外,您不需要 framebusting 代码。
关于http - 防御点击劫持,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49934202/
25
4
0
我正在 node.js 中开发一个项目,该项目使用 mongoose 来处理 MongoDB。我想防御 XSS 攻击。建议的方法是什么?我找到了这个: https://www.npmjs.com/pa
如果某些 .html 文件只能通过密码匹配(在 PHP 中实现)与数据库中的哈希码来访问,用户仍然可以猜测可能的 .html 文件名并看到所谓的特权页面。查看特权页面的源代码,然后用户可以看到在该 .
问题 我们需要防御 Java 应用程序中的“WAITFOR DELAY”sql 注入(inject)攻击。 背景 [这很长。跳至“解决方案?”如果您很着急,请参阅下面的部分] 我们的应用程序在访问数据
我正在使用backbone和node.js创建一个网站,并且不认为默认情况下有任何针对CSRF的保护。在使用 Node.js 和 Backbone 时,是否有针对 CSRF 的标准方法?谢谢 最佳答案
我是一名优秀的程序员,十分优秀!