彭峰的博客
05
01
HTML5 安全 HTML5 安全
HTML5 安全新的标签HTML5 定义了很多先标签和新事件,可能会带来新的XSS攻击。如果建立一个黑名单的话,则可能不会覆盖到HTML5新增的标签和功能,从而发生XSS iframe 的sandboxHTML5专门为iframe定义新的属
2021-05-01
01
SSL SSL
SSL(Secure Socket Layer)简介 解决问题 窃听风险,加密机制 篡改风险,校验机制 冒充风险,身份证书 SSL位于应用层和TCP层之间。 使用的的算法 密钥交换算法:DH算法(Diffie-Hellman),R
2021-05-01
01
XSS XSS
XSS简介Cross-Site Scripting(跨站脚本攻击)简称 XSS。攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本质:恶意代码未
2021-05-01
01
安全基础 安全基础
安全三个要素 机密性(Confidentially) 保证数据内容不能泄露 常见手段:加密 完整性(Integrity) 保护数据内容的完整,没有被篡改 常见手段:数字签名 可用性(Availability) 保护资源是“随需可得”
2021-05-01
01
权限管理 权限管理
cookie 和 sessioncookie和session的区别 token优势 无状态,可扩展 跨服务器 性能提升 可携带其他信息 跨域 配合移动端 防止CSRF JWT(Json web token) token VS sessi
2021-05-01
01
安全基础 安全基础
注入攻击注入攻击是应用违背了“数据与代码分离原则的”结果 注入攻击的两个条件 用户能够控制数据的输入 原本要执行的代码,拼接了用户的输入,把数据当做代码执行了SQL注入 要避免Web服务器开启错误回显,将错误信息直接返回 还可以盲注,比如
2021-05-01
01
安全基础 安全基础
浏览器的同源策略同源策略介绍 同源策略解决的问题:CSRF CSRF(cross-site request forgery) 通过伪装成受信任用户的请求来利用受信任的网站。 CSRF攻防简介 如何防止CSRF攻击防止手段 CSRF自动防御
2021-05-01
01
Restful 设计 Restful 设计
Restful 设计 资源 表现层:资源的表现形式:如以json表现。HTTP请求头中的accept和content-type字段控制 状态转化(get,post,put,delete)原则: 每一种URI 代表一种资源 服务器和客户端之
2021-05-01
01
设计模式实例 设计模式实例
模板设计模式:servlet的继承:oneServlet extends HttpServlet观察者模式:servlet的Listener组合模式:Tomcat Catalina模块
2021-05-01
01
设计模式六大原则 设计模式六大原则
设计模式六大原则单一职责原则里氏替换原则任何基类可以出现的地方,子类一定可以出现 依赖倒置原则开闭原则的基础,针对接口编程,依赖抽象而不依赖于具体 接口隔离原则使用多个接口,比使用单个接口要好,降低类之间的耦合度 迪米特法则(最少知道原则)
2021-05-01
13 / 24