本文目录一览:
- 1、如何防止js获取cookies值
- 2、如何防止javascript注入攻击
- 3、关于js用cookie保存帐号和密码的安全性
- 4、盗用别人的cookies有什么用,怎样盗取以及怎样防范!
- 5、如何有效防止XSS攻击/AJAX跨域攻击
- 6、客户端(javascript)Cookie的引用,安全漏洞如何解决?
如何防止js获取cookies值
浏览器是你自己的,你可以禁用很多功能 比例cookies 脚本 ActionX ····
关掉cookies 操作如下
浏览器安全设置 工具—— internet选项 隐私 ——安全级别 调高
如何防止javascript注入攻击
很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:
form action="sendmessage.php" method="post'"
textarea name="message" /textarea
input type="submit" value="send" /
/form
当用户点击发送时,这条消息会被保存在数据库中指定的数据表中,另一个用户当打开这条消息的时候将看到发送的内容。但是,如果一个恶意攻击者发送的内容包含了一些javascript代码,这些代码用于偷取敏感的cookie信息。当用户打开看到这条消息的时候,恶意的javascript代码就会得到执行,造成敏感cookie信息泄漏。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持,直接以合法用户的身份登录其他用户的账户。
恶意攻击者可以在消息框中加入一下javascript代码:
关于js用cookie保存帐号和密码的安全性
加密是可以的,但是不要用js来做,因为js是客户端可以查看的,别人查看一下js代码,然后就可以从cookie里面还原密码了。
建议使用md5加密,有服务器脚本对密码md5之后,设置cookie保存在客户机浏览器里面,浏览器发送登录信息的时候,如果密码为空则严重md5密码。
盗用别人的cookies有什么用,怎样盗取以及怎样防范!
你错了 真的 每个网页都有代码 这个代码是别人加进去的 比如网页里面有广告 还有动画cookies
加过这些代码的网页多的不能再多 内幕人员则用这些代码来获取你的cookies 就能知道你在哪上网 上的什么网页和多长时间 等等
要想防范就得删除cookies 但是现在有一种你删不掉 就是动画cookies 也就是说 你只能被监测!不管你愿不愿意
如何有效防止XSS攻击/AJAX跨域攻击
1,利用字符过滤漏洞,提交恶意js代码,当用户打开页面时执行
2,需要填写图片地址或css等直接在页面加载时执行的地方,填写恶意js [javascript:xxxx],当用户打开包含图片的页面时,可以执行js。比如GET s1.game.com/fight/:id 表示发兵到某个用户,虽然做了用户验证,但没做来源验证,用户只需将这个地址发到同用户的论坛作为图片地址即可执行
3,通过跳转页面漏洞,比如 refer.php?message=xxxx ,页面上直接用 $_GET['message'] 的话,就会造成xss漏洞,把message的参数换成js代码或恶意网址,即可盗取用户cookie,或执行恶意js,或跳转到钓鱼页面等
4,利用浏览器或服务器0day漏洞
1,XSS主要是你的页面可以运行用户写的js,所以对所有的用户提交的数据进行过滤,对于判断用户是否登录状态的cookie信息进行加密,并且加上Ip信息,这样基本被盗取也无法获取登录权限
2,对update或delete的操作采用post方式提交,每次form里加一个唯一验证字符串,用hiden方式提交,用于服务器验证是否来自用户客户端
3,跳转程序需要对传递的url进行匹配判断,只允许特定的格式
4,时常关注安全方面的消息,一有漏洞即刻不上
客户端(javascript)Cookie的引用,安全漏洞如何解决?
你好,cookies本来就是个不安全的东西,原本设计只是为了更好地和用户交互,但是使用不当就会总成账户信息泄露,甚至账户被伪造。cookies可在客户端被修改,所以不要在cookies里存储重要的信息,如账户信息(用户密码、用户验证密钥、用户隐私资料等)、登陆控制信息(用户登陆签证等)、会话信息等。建议将重要的信息保存在服务端,若是全部页面需要的参数、常数可使用session存储。
总的来说,应遵循以下原则:
和用户账户相关的信息特别是涉及到安全验证和安全授权的信息都应保存在服务端,需要有记录的保存到数据库,不需要记录的保存到session。
所有及到安全验证和安全授权的信息都应保存在服务端!!
仅仅只是改善用户体验和用户交互的可保存在cookies。