是什么AntiSamyOWASPAntiSamy项目可以有好几种定义.
从技术角度看,它是一个可确保用户输入的HTML/CSS符合应用规范的API.
也可以这么说,它是个确保用户无法在HTML中提交恶意代码的API,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中.
在Web应用程序中,"恶意代码"通常是指Javascript.
同时层叠样式表(CSS)在调用Javascript引擎的时候也会被认为是恶意代码.
当然在很多情况下,一些"正常"的HTML和CSS也会被用于恶意的目的,所以我们也会对此予以处理.
冷静地说,AntiSamy项目是违背现代安全机制的.
因为出于安全考虑,安全机制和用户之间的沟通应该是单向的.
而让潜在的攻击者知道验证的细节通常是不明智的,这样会让攻击者学习和探查到系统运行机制以找到薄弱环节.
这种类型的信息泄露可能会造成意想不到的后果.
如果一个登录系统,告诉访问者"用户名不存在",这就泄露出一个事实:这个用户名在系统中确实不存在.
攻击者可以使用一个字典,一个电话本,或者二者结合,在远程得到一个有效的用户列表.
利用这些信息,攻击者可以使用暴力穷举破解进行攻击,或者引发大规模的账户锁定从而造成拒绝服务攻击.
这是很常见的攻击形式.
DMIT怎么样?DMIT最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99美元 !!目前,美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线...
RackNerd 商家给的感觉就是一直蹭节日热点,然后时不时通过修改配置结构不断的提供低价年付的VPS主机,不过他们家还是在做事的,这么两年多的发展,居然已经有新增至十几个数据中心,而且产品线发展也是比较丰富。比如也有独立服务器业务,不过在他们轮番的低价年付VPS主机活动下,他们的服务器估摸着销路不是太好的。这里,今天有看到RackNerd商家的独立服务器业务有促销。这次提供美国多个机房的高配独立...
Friendhosting发布了今年黑色星期五促销活动,针对全场VDS主机提供45折优惠码,虚拟主机4折,老用户续费可获9折加送1个月使用时长,优惠后VDS最低仅€14.53/年起,商家支持PayPal、信用卡、支付宝等付款方式。这是一家成立于2009年的老牌保加利亚主机商,提供的产品包括虚拟主机、VPS/VDS和独立服务器租用等,数据中心可选美国、保加利亚、乌克兰、荷兰、拉脱维亚、捷克、瑞士和波...