代码漏洞扫描 漏洞描述:Cross Site History Manipulation 简要描述:产品的行为差异或发送不同的反应,在某种程度上暴露了与安全性相关的产品状态,例如特定的操作是否成功.可能的漏洞消除办法: 区分你的系统"安全"的区域,这些区域可以明确地绘制信任边界.不允许敏感数据到信任边界的外面,和安全区域外的空间交互时需要时刻小心.为错误条件设置通用的响应.这个错误页面不应该透露有关成功或失败的敏感性操作的信息.例如,登录页面不应该确认登录是正确的和密码是错误的.攻击者想…
http://blog.chinaunix.net/uid-27070210-id-3255407.html 乍一看,好像和以前 css history hack 差不多,其实原理还是不一样的.浏览器的 history 对象是比较特别的一个东西,与浏览历史不同,这个对象不是保存在本地的那个,也没那么多内容.history对象是浏览器在生命周期中,比如tab页,访问的历史记录,用于提供"前进"."后退"等操作.在firebug里可以看到这个对象有以下几个属性: his…
http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html 13. Cross Site Request Forgery (CSRF) This section discusses Spring Security's Cross Site Request Forgery (CSRF) support. 13.1 CSRF Attacks Before we discuss h…