如何应对常见网络应用安全漏洞(上)

日期: 2009-10-27 作者:Rob Barry翻译:杨晓明 来源:TechTarget中国 英文

Ajax这项创新不断促进使用Web浏览器成为无处不在的客户端,但是在这种类型应用背后潜在的安全问题也限制了它的发展。根据Mozilla实验室的开发者和Direct Web Remoting的创始人Joe Walker说,跨站请求伪造和跨站脚本攻击这些溢出漏洞代码仍存在于这些顾虑中。   出席在Ajax体验2009大会上的Walker表示“两年前,安全发展的很快,可是如今有点慢了下来。但这并不是说我们的处境没有危险。

”   跨站请求伪造(CSRF)是漏洞代码的普遍类型,用户执行了当前验证他们的Web应用中不必要的脚本。这能导致cookies,headers和Kerberos tokens被盗取。……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

Ajax这项创新不断促进使用Web浏览器成为无处不在的客户端,但是在这种类型应用背后潜在的安全问题也限制了它的发展。根据Mozilla实验室的开发者和Direct Web Remoting的创始人Joe Walker说,跨站请求伪造和跨站脚本攻击这些溢出漏洞代码仍存在于这些顾虑中。

  出席在Ajax体验2009大会上的Walker表示“两年前,安全发展的很快,可是如今有点慢了下来。但这并不是说我们的处境没有危险。”

  跨站请求伪造(CSRF)是漏洞代码的普遍类型,用户执行了当前验证他们的Web应用中不必要的脚本。这能导致cookies,headers和Kerberos tokens被盗取。

  Walker认为CSRF攻击通常瞄准要求提交表单的Web1.0 应用。有些防范措施的方法通常是强制用户注销,让应用检查进站前链接点的报头。对于在XML HTTP请求(XHR)环境中安全措施CSRF攻击,Walker推荐使用名叫“域令牌”的随机值cookies,这个“域令牌”必须与在XHR请求中报头相一致。

  Walker讲到“不过设置一个报头将能应付百分之九十的情况,接下来的问题是,你想在多大程度上采用随机生成数。 你可以使用Math.random,但对存储库来说这有点太可预见了。”

  还有一种在登录时发生的CSRF类型,可以用类别检查来防范。

 

作者

Rob Barry
Rob Barry

新闻作者

相关推荐

  • 八个超实用的jQuery技巧攻略

    jQuery是JavaScript最好的库之一,主要用于制作动画、事件处理,支持Ajax及HTML脚本客户端。文中分享了8个超实用的jQuery代码技巧攻略,希望你会喜欢。

  • HTML5强大功能背后的安全陷阱

    尽管HTML5使网站的功能更为强大,但开发人员需充分利用其新的技术特征来提高网站的安全性,使用不当会带安全问题,你知道吗?

  • 前端页面开发之Node.js初学者指南

    Node.js是刚刚兴起的一个概念,你对它的了解有多少?Node.js的意义是什么,它是怎么发展起来的?Node.js的作用是怎样的呢?

  • JavaScript解析:让搜索引擎看到更真实的网页

    我们都知道期的搜索引擎没有相应的处理能力,会导致很多问题。引入JavaScript解析的目的,可以使搜索引擎可以更为清晰的了解用户实际打开该网页时看到的效果。