个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
如果某些 .html 文件只能通过密码匹配(在 PHP 中实现)与数据库中的哈希码来访问,用户仍然可以猜测可能的 .html 文件名并看到所谓的特权页面。查看特权页面的源代码,然后用户可以看到在该 .html 中调用的 .php 的名称,这可能导致猜测可能的 POST 参数。
减少对 .html 和 .php 文件类型的名称进行此类猜测的诱惑的最佳做法是什么。
.htaccess 文件已经有“options -indexes”来防止列出目录。
编辑:嗯,与其赞成它是一个糟糕的实现,不如赞成其中一个建议的答案或写一个新的答案。很明显,这是一个糟糕的实现,这就是发布这个问题的原因。
最佳答案
如果您只将这些页面包含在其他页面中,请拒绝在 .htaccess 中访问它们
如果您希望它们可供访问,但仅限授权用户访问,请使用密码保护或提供其他身份验证
防止人们猜测页面名称的方法是“通过模糊实现安全”,永远不要依赖它。以一切可见的假设设置您的系统,并以此为基础制定安全措施
关于php - 防御 .html 和 .php 文件名猜测,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28901285/
29
4
0
我正在 node.js 中开发一个项目,该项目使用 mongoose 来处理 MongoDB。我想防御 XSS 攻击。建议的方法是什么?我找到了这个: https://www.npmjs.com/pa
如果某些 .html 文件只能通过密码匹配(在 PHP 中实现)与数据库中的哈希码来访问,用户仍然可以猜测可能的 .html 文件名并看到所谓的特权页面。查看特权页面的源代码,然后用户可以看到在该 .
问题 我们需要防御 Java 应用程序中的“WAITFOR DELAY”sql 注入(inject)攻击。 背景 [这很长。跳至“解决方案?”如果您很着急,请参阅下面的部分] 我们的应用程序在访问数据
我正在使用backbone和node.js创建一个网站,并且不认为默认情况下有任何针对CSRF的保护。在使用 Node.js 和 Backbone 时,是否有针对 CSRF 的标准方法?谢谢 最佳答案
我是一名优秀的程序员,十分优秀!