数据安全简单分析总结
数据安全是一个重要的模块,我们从三个层面入手:操作系统、应用系统、数据库、比较常用的是应用系统和数据库层面的安全保障措施,
在操作系统层面通过防火墙的设置,如设置端口成8080只有自己的电脑能访问,应用层如下三大点:
跨站脚本攻击(xss)
有三种类型:
反射型:一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当用户点击时,恶意代码会直接在受害者主机上的浏览器执行。
通常出现的场所: 网站的搜索栏,用户登陆口等,常用来窃取客户端Cookies或者进行钓鱼。
存储型:也叫持久性xss 主要将xss代码提交到存储在服务端(数据库,内存,文件系统),下次请求目标页面时不用提交xss代码,当目标用户访问该页面,xss代码会
从服务器解析加载出来,返回到浏览器做正常的html和js解析执行。
场所:留言,评论,博客日志等交互处
攻击型: 基于dom指的是 通过恶意脚本修改页面dom结构,是纯粹发生在客户端的进攻,dom,xss攻击中 取出和执行恶意代码由浏览器端完成,属于前端javaScript自身的安全漏洞。
1、Javascript来对字符进行过滤,将一些如%、< 、>、 [、]、{、}、;、&、+、-、"、(、) 的字符过滤掉。
2、对重要的cookie设置httpOnly,防止客户端通过document.cookie就可以读取了,此HTTP头由服务端设置。
3、将不可信的值输出URL参数之前,进行URLEncode操作,而对于URL参数中获取值一定要进行格式检测。
4、后端接口也要做到关键字过滤的问题。
CSRF(跨站请求攻击)
是一种挟制用户在当前已登录Web应用上执行非本意的操作攻击方法。
1、验证码机制:添加验证码来识别是不是用户主动发起这个请求。
2、请求来源机制:在HTTP请求头中Referer字段,它记录了请求的来源地址,服务器验证该来源地址是否合法,如果来自一些不受信任的网站,则拒绝响应。
3、验证机制--token的使用:服务器随机生成token,简单的来说,前端发送请求时需要挟持token一起,后端对比token是否一致,如果一致可以证明请求有效,反之拒绝该请求。
如何防止SQL注入
sql注入是一种注入技术,用于攻击数据驱动的应用,恶意的sql语句被插入执行的实体字段中。常见的(“or '1'='1'-”)
mybatis是一款优秀的持久层架构,它支持定制化sql,存储过程以及高级映射。我们使用#{} 代替 ${}。
简单的说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是去变量的值,是非安全的,存在SQL注入。
数据安全简单分析总结相关推荐
- R语言splines包构建基于logistic回归的自然样条分析:南非心脏病数据集、非线性:基函数展开和样条分析、你简单分析的不重要特征,可能只是线性不显著、而非线性是显著的
R语言splines包构建基于logistic回归的自然样条分析:南非心脏病数据集.非线性:基函数展开和样条分析.你简单分析的不重要特征,可能只是线性不显著.而非线性是显著的 目录
- [EntLib]微软企业库5.0 学习之路——第七步、Cryptographer加密模块简单分析、自定义加密接口及使用—上篇...
在完成了后,今天开始介绍企业库中的新模块:Cryptographer(加密模块),这个模块在日常的大多数项目的作用非常重要,例如:网站会员密码.身份证号.网站配置等,通过对信息进行加密可以保证项目数据 ...
- FFmpeg资料来源简单分析:libswscale的sws_getContext()
===================================================== FFmpeg库函数的源代码的分析文章: [骨架] FFmpeg源码结构图 - 解码 FFmp ...
- howdoi 简单分析
对howdoi的一个简单分析. 曾经看到过下面的这样一段js代码: try{doSth(); } catch (e){ask_url = "https://stackoverflow.com ...
- Mac与Phy组成原理的简单分析
Mac与Phy组成原理的简单分析 2011-12-28 15:30:43 //http://blog.chinaunix.net/uid-20528014-id-3050217.html 本文乃fir ...
- python做数据可视化的代码_Python数据可视化正态分布简单分析及实现代码
Python说来简单也简单,但是也不简单,尤其是再跟高数结合起来的时候... 正态分布(Normaldistribution),也称"常态分布",又名高斯分布(Gaussiandi ...
- ASIHTTPRequest源码简单分析
2019独角兽企业重金招聘Python工程师标准>>> 1.前言 ASIHttprequest 是基于CFNetwork的,由于CFNetwork是比较底层的http库,功能比较少, ...
- Hessian 源码简单分析
Hessian 源码简单分析 Hessian 是一个rpc框架, 我们需要先写一个服务端, 然后在客户端远程的调用它即可. 服务端: 服务端通常和spring 做集成. 首先写一个接口: public ...
- python预测股票价格tushare_用tushare对股票进行简单分析
用tushare对股票进行简单分析(仅供交流学习) import numpy as np import pandas as pd import matplotlib.pyplot as plt imp ...
- 智能情绪分析技术_简单分析人工智能的表现在计算机网络应用技术中的优势
简单分析人工智能的表现在计算机网络应用技术中的优势 大数据时代背景下, 计算机网络技术迅猛发展, 而人工智能技术的发展也进一步推动了计算机网络技术的发展, 两者相互融合, 相互促进, 实现了双赢发展. ...
最新文章
- Oracle单实例打补丁
- 服务器系统健康值计算算法,身体健康指数计算方法
- python样本期望值_用 python 做 z 检验,t 检验
- 【转】深入浅出OOP(六): 理解C#的Enums
- 安卓案例:利用内容提供者显示和添加联系人
- docker安装redis【网易镜像方式】
- Linux系统编程 40 -open函数
- 计算机在聋校教学中有哪些作用,现代信息技术在聋校语文教学中的应用
- [网站建设] 深度解析搜索引擎的原理结构
- java的“看门狗”锁续期可以用php redis这样实现【php锁续期、分布式锁、无锁请求队列超卖】解决【商家超卖(商品库存控制)、用户超买(秒杀订单控制)】问题。非demo 线上一直在用
- 免费生成!火爆全网的个人行程卡纪念版!
- python的or的用法_python中or和and的用法
- 计算机哪里应用了静电场原理,实验二静电场物理模拟
- linux下防火墙iptables用法规则详解
- 好一座假山!———初谈岳不群
- 数量遗传学 第四章 有限大小的群体和近交
- 聊一聊龙蜥硬件兼容性 SIG 那些事儿 | 龙蜥 SIG
- 值班c语言程序,5.值班安排C语言程序报告.doc
- unas基于_UNAS 2.0 Ushare Edition系统 NAS 软件 固件 收费版支持更新
- 万维考试系统python题库答案_万维试题库系统官方下载