web前端安全---读书笔记

粗略的看完了Web前端黑客技术揭秘前两章了,由于自身的前端功力不深,当然也是初涉前端的安全问题,所以实话还是有些问题看不太明白的。在豆瓣看到的这本书,名字真心有点很肥主流,所以这本书的名气确实在豆瓣上的评分也不高,挑这本书的原因很大程度是由于它的出版时间是2013年,而有名气的白帽子讲web安全却是2012年出版的,就我目前的感知而言,前端的发展速度极快,很多之前的东西很有可能之后就被淘汰,涉及到安全性就更是了。

第一章介绍了web安全的几个关键点:

   浏览器的同源策略

同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。

同不同域呢,同域要求两个站点同协议,同域名,同端口。

域站点http://www.foo.com是否同域

 
https;//www.foo.com 不同域 https和http是不同的协议,https是加密的ssl传输协议,http是超文本传输协议。
http://foo.com 不同域 域名不同,顶级域和www子域不是一个概念。(顶级域和二级域名的区别,权重什么的会不同的。)
http://www.foo.com:8080 不同域 端口不同,默认的是80端口。tomcat使用的也是8080端口,当然可以自己配置。
http://www.foo.com/a/ 同域 同域名,同端口,同协议,就是多了个目录,根目录多个文件夹咯。

关于第三方统计脚本

很多网站都嵌入了。如果第三方的统计脚本被黑客挂马,网站本身就会被危机。这一点,个人用的是Google Analytics,代码是官方生成的,额,应该没什么很大不安因素吧~~:)相对于百度的统计,果断选择了google,只要有个gmail账号,注册,黏贴如下代码到网页呢就可以了。

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
 
  ga('create', 'UA-43018678-1', '网址');
  ga('send', 'pageview');
 
</script>

  社会工程学

这个名词倒是看这本书第一次听说,看了这本书还是接触到蛮多的概念名词的。

社会工程学,简称社工,说白了就是“骗”。个人认为传奇点的”骗“也就如盗梦空间什么的了...

常用的社工辅助技巧:Google Hack ,SNS垂直搜索,各种手机的数据集合查询...巴拉巴拉的东东。

SQL注入攻击(关于SQL注入更详细~代码注入

说白了就是一联合查询(个人的数据库好水好水啊唉),以MySql为例,如果用户是通过http;//www.foo.com/user.php?id=1来获取自身的账号信息的,

j加上联合查询语句:

1 union select password 1,1 from users

那么提交请求后,主城的链接的形式就会变成:

http;//www.foo.com/user.php?id=1 union select password 1,1 from users

字后端提交的sql查询语句就会变成:

select username email desc1 from users where id=1 union select password ,1,1 from users

So,user表的password就很可能不安全了。

虽然这本还有很多看不懂的地方,以后慢慢滴应该就会看得懂吧唉~路漫漫其修远兮。

 
 

web前端安全---读书笔记的更多相关文章

  1. 每天成长一点---WEB前端学习入门笔记

    WEB前端学习入门笔记 从今天开始,本人就要学习WEB前端了. 经过老师的建议,说到他每天都会记录下来新的知识点,每天都是在围绕着这些问题来度过,很有必要每天抽出半个小时来写一个知识总结,及时对一天工 ...

  2. 《PHP与MySQL WEB开发》读书笔记

    <PHP与MySQL WEB开发>读书笔记 作者:[美]Luke Welling PHP输出的HereDoc语法: echo <<<theEnd line 1 line ...

  3. <<Java RESTful Web Service实战>> 读书笔记

    <<Java RESTful Web Service实战>> 读书笔记 第一章   JAX-RS2.0入门 REST (Representational State ransf ...

  4. Web前端开发学习笔记(一)

    最近在复习Web前端的开发知识,于是就把大二上学期曾经学过的东西拿出来复习一遍,把自己在做曾经的作业时遇到有意义的点都记下来吧. Homework1:http://my.ss.sysu.edu.cn/ ...

  5. 《Node.js+MongoDB+AngularJS Web开发》读书笔记及联想

    总体介绍 <Node.js+MongoDB+AngularJS Web开发>,于2015年6月出版,是一本翻译过来的书,原书名为<Node.js,MongoDB and Angula ...

  6. 《HTML5 and Javascript Web Apps》读书笔记要点摘录

    必须要承认的是这本由Wesley Hales编写的书对要进军web apps 的程序员(媛)来说绝对是福音,很薄的一本书简明扼要的说明了web apps的实现原理,实现工具以及优缺点.拾人牙慧,作此摘 ...

  7. 【ASP.NET+MVC4+Web+编程】读书笔记

    模型:数据和业务逻辑 视图:展示 控制器:接收视图输入数据,通过模型层业务逻辑处理后 返回给视图 分离关注点(模型 视图 控制器).惯例优先原则 browser-->routing-->c ...

  8. web前端-html学习笔记

    学习html最重要的是坚持.细心.多动手.慕课网<HTML+CSS基础课程>的笔记. 1.<h1>网站标题</h1> 如:<h1>腾讯网</h1& ...

  9. Web前端开发学习笔记(二)

    Homework2:http://my.ss.sysu.edu.cn/wiki/display/WEB/Homework+2+-+Movie+Review 这份作业跟布局相关,因此很多都是布局的知识: ...

随机推荐

  1. Mac OS X于Android Kernel下载方法

    于上一篇日志中,我总结了大家提供的下载Android源代码的方法.这里再简单总结一下内核的下载方法. 參考这里的介绍:http://source.android.com/source/building ...

  2. 高效率的Shell

    1. 批量将Excel转为CSV文件 XLSX2CSV: https://github.com/dilshod/xlsx2csv sudo easy_install xlsx2csv #安装Xlsx2 ...

  3. python元类分析

    刚開始接触到Python新式类中的元类的概念的时候非常是纠结了下..不知道这是个啥东西... 用下面几个定义来说明吧: (1)Python中,类也是对象..仅仅只是这样的对象比較的特殊,他用于创建别的 ...

  4. 关于springmvc 方法注解拦截器的解决方案,多用于方法的鉴权

    最近在用SpringMvc写项目的时候,遇到一个问题,就是方法的鉴权问题,这个问题弄了一天了终于解决了,下面看下解决方法 项目需求:需要鉴权的地方,我只需要打个标签即可,比如只有用户登录才可以进行的操 ...

  5. 根据Unix哲学来编写你的HTML5 Websocket服务器来实现全双工通信

    websocketd代表WebSocket的守护进程 websocketd处理的是浏览器和服务器之间的WebSocket连接,它会启动你所指定的服务器端应用来对WebSockets进行处理,然后在浏览 ...

  6. 条形码(JBarcode)

    一世尘梦 少小离家老大回,妖娆尘世,程序唧唧:问君能有几多愁,恰是满屏BUG无处修. 商品条形码(JBarcode) 之前没有使用过这个,现在使用JBarcode生成商品条形码,工作之前的准备工作: ...

  7. 在asp.net页面上按回车会触发Imagebutton控件的Click事件

    原文:在asp.net页面上按回车会触发Imagebutton控件的Click事件 问题: 用asp.net做的aspx页面,无论是否有文本框.下拉框.复选框……获得焦点,只要在当前页面上按一下回车就 ...

  8. TextArea中定位光标位置

    原文:TextArea中定位光标位置 在项目中,遇到一个场景:希望能在TextArea中输入某条记录中的明细(明细较简单,没有附属信息,只用记录顺序和值即可,譬如用"+"号来作为明 ...

  9. 摘录DirectShow数据,视频采集

    DirectShow在,数据流(Data Flow)它们是依次流过每Filter的.管理其数据具有其自己的方法,并且并没有向用户提供一个统一的接口,供用户操作数据流.这里以提取视频採集在的每帧为位图数 ...

  10. 亮点面试题&amp;&amp;实现Singleton(辛格尔顿)模式-JAVA版本

    称号:设计一个类.我们只能产生这个类的一个实例.(来自<剑指Offer>) 解析:仅仅能生产一个实例的类是实现Singleton(单例)模式的类型.因为设计模式在面向对象程序设计中起着举足 ...