本文属spanzhang原创,其blog地址为:http://blog.csdn.net/spanzhang。引用或转贴请注明出处,谢谢!!

现在的网站基本上都有后台数据库,而这个东东也就成了攻击的重点。从URL传入特殊参数成为了一种常用的攻击手段,就是对那些为了提高搜索率做了简单URL重写的网页也一样。我下面给出的解决方案基本上能解决受到攻击的危险,但也有一些小小的弊端。

Yes,最容易想到的方法就是不要将URL参数在客户端显示出来。但这基本上是不可能的,倒不是技术上行不通,是因为操作起来会把人累死,而且程序结构(可读性)会受到严重威胁。折中的办法就是将URL参数部分加密,这样就可以杜绝攻击者对URL做文章了,同时网页的搜索率不会受到太大的影响,但网页的URL将不再好记。一个简单的示例如下:
http://192.168.0.1/app1/editProfile__AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB.aspx

其中,双下划线“__”是分割符号,后面的AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB是加密了的参数列表,解密出来后为userId=13972&action=delete。上面的URL将被transfer到:
http://192.168.0.1/app1/editProfile.aspx?userId=13972&action=delete

另外,关于URL Rewriting,你可以使用HttpModule,也可以使用404错误来dispatch你的页面。

转载于:https://www.cnblogs.com/Nina-piaoye/archive/2006/09/13/502763.html

防URL参数攻击方案相关推荐

  1. 前端拦截url参数xss攻击_闲庭信步聊前端 - 漫谈XSS

    闲庭信步聊前端 - 漫谈XSS 什么是XSS? 众所周知XSS是Cross-Site Scripting(跨站脚本攻击)的简称,但是英文的缩写明明是CSS为什么叫XSS呢?---历史遗留问题,因为CS ...

  2. java dataurl_java url参数去重

    展开全部 言归正e68a84e8a2ad62616964757a686964616f31333335326163传. 所谓的Url去重(我一直没找到对应的英文,URL Filtering ?),就是爬 ...

  3. asp.net防类似DDOS攻击(CC攻击)代码

    Web.config <httpModules> <!–Url重写–> <add type="UrlRewriter.RewriterHttpModule, U ...

  4. java 防止sql xxs注入,Java-JSP网站 防SQL注入,防XSS等攻击有什么好的处理办法?...

    jsp 来防SQL注入,防XSS等攻击的话,首先要选择PreparedStatement来处理sql语句!同时java后台还需要对页面中接受到的参数进行字符替换! /** * 清除所有XSS攻击的字符 ...

  5. 转发和重定向简介及与之相关的(URL)参数(parameter)、属性(attribute)问题探讨

    转发和重定向简介及与之相关的(URL)参数(parameter).属性(attribute)问题探讨 蜀中孤鹰 2019-07-15 15:55:49 101 收藏 最后发布:2019-07-15 1 ...

  6. pc端如何把URL参数隐藏

    需求描述:pc端如何把URL参数隐藏,今儿遇到从业以来一个很特殊的问题,写项目都知道一般后台管理系统,很少公开或者对外使用,所以使用时在内部url操作时,安全性并不是很注意,当然对于服务端程序猿可以在 ...

  7. vue 项目优雅的对 url 参数加密

    实现方案:stringifyQuery 和 parseQuery 近期因为公司内部的安全检查,说我们现在的系统中参数是明文的,包括给后端请求的参数和前端页面跳转携带的参数,因为是公司内部使用的系统,在 ...

  8. 【js操作url参数】获取指定url参数值、取指定url参数并转为json对象

    获取指定url参数值 /* 获取某url中的某参数值 调用:GetUrlQueryString("[url地址]","[参数名]"); */ function ...

  9. html的子页面获取自己url,如何从html页面获取url参数并将其显示在textarea中?

    我用下面的在我的HTML页面的JavaScript功能,我想没有textarea的任何连接操作正常显示参数....如何从html页面获取url参数并将其显示在textarea中? function g ...

最新文章

  1. python xpath语法-Python xpath表达式如何实现数据处理
  2. RH442-3 队列技术
  3. Nginx-常见服务器的对比
  4. 一个java处理JSON格式数据的通用类(三)
  5. UIView的一些基本方法 init、loadView、viewDidLoad、viewDidUnload、dealloc
  6. C# List的方法和属性
  7. 服务器内存 知乎_巨炮快评! 篇六:16核32线程384GB内存!双路Intel至强数据服务器拆解...
  8. 如何卸载赛门铁克(Symantec)企业防病毒客户端软件SEP(Symantec Endpoint Protection)?
  9. 黑客帝国角色 之 尼奥解读
  10. linux加静态路由命令,LINUX添加静态路由
  11. nextdate函数白盒测试问题 软件测试_NextDate函数测试用例
  12. 非负大整数加法---网易校招附加题
  13. xml 硕正报表_硕正轻量级富Web应用套件–硕正报表主要指标及功能清单
  14. JAVA 115个面试题及个人部分衍生疑问?
  15. 华为手机开机卡在开机画面,该怎么解决呢?
  16. python3 安装PIL模块
  17. matlab数值分析与应用论文,MATLAB数值分析与应用
  18. Mac 开机密码忘记
  19. 传Livy闭包head of empty list报错排查步骤
  20. 一款练习汇编的神器——DosBox

热门文章

  1. 动态半导体ram依据什么存储信息_LPDDR4X和RAM两者有什么关系 它们有什么特点
  2. Matlab中自定义函数(一)
  3. Git之hotfix热修复分支
  4. SecureCR 改变背景色和文字颜色
  5. luoguP1354房间最短路问题
  6. java工程师之旅-一个月工作心得
  7. 关于UI交互设计方面一些考虑的问题
  8. MyEclipse + Maven开发Web工程的详细配置过程
  9. 通过100个单词掌握英语语法(十八)did
  10. JavaScript DOM 向文档添加新的元素