是什么AntiSamyOWASPAntiSamy项目可以有好几种定义.
从技术角度看,它是一个可确保用户输入的HTML/CSS符合应用规范的API.
也可以这么说,它是个确保用户无法在HTML中提交恶意代码的API,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中.
在Web应用程序中,"恶意代码"通常是指Javascript.
同时层叠样式表(CSS)在调用Javascript引擎的时候也会被认为是恶意代码.
当然在很多情况下,一些"正常"的HTML和CSS也会被用于恶意的目的,所以我们也会对此予以处理.
冷静地说,AntiSamy项目是违背现代安全机制的.
因为出于安全考虑,安全机制和用户之间的沟通应该是单向的.
而让潜在的攻击者知道验证的细节通常是不明智的,这样会让攻击者学习和探查到系统运行机制以找到薄弱环节.
这种类型的信息泄露可能会造成意想不到的后果.
如果一个登录系统,告诉访问者"用户名不存在",这就泄露出一个事实:这个用户名在系统中确实不存在.
攻击者可以使用一个字典,一个电话本,或者二者结合,在远程得到一个有效的用户列表.
利用这些信息,攻击者可以使用暴力穷举破解进行攻击,或者引发大规模的账户锁定从而造成拒绝服务攻击.
这是很常见的攻击形式.
优惠码年付一次性5折优惠码:TYO-Lite-Open-Beta-1y-50OFF永久8折优惠码:TYO-Lite-Open-Beta-Recur-20OFF日本vpsCPU内存SSD流量带宽价格购买1核1.5G20 GB4 TB1Gbps$10.9/月购买2核2 G40 GB6 TB1Gbps$16.9/月购买2核4 G60 GB8 TB1Gbps$21.9/月购买4核4 G80 GB12 TB...
特网云为您提供高速、稳定、安全、弹性的云计算服务计算、存储、监控、安全,完善的云产品满足您的一切所需,深耕云计算领域10余年;我们拥有前沿的核心技术,始终致力于为政府机构、企业组织和个人开发者提供稳定、安全、可靠、高性价比的云计算产品与服务。公司名:珠海市特网科技有限公司官方网站:https://www.56dr.com特网云为您提供高速、稳定、安全、弹性的云计算服务 计算、存储、监控、安全,完善...
艾云怎么样?艾云是一家去年年底成立的国人主机商家,商家主要销售基于KVM虚拟架构的VPS服务,机房目前有美国洛杉矶、圣何塞和英国伦敦,目前商家推出了一些年付特价套餐,性价比非常高,洛杉矶套餐低至85元每年,给500M带宽,可解奈飞,另外圣何塞也有特价机器;1核/1G/20G SSD/3T/2.5Gbps,有需要的朋友以入手。点击进入:艾云官方网站艾云vps促销套餐:KVM虚拟架构,自带20G的防御...