是什么AntiSamyOWASPAntiSamy项目可以有好几种定义.
从技术角度看,它是一个可确保用户输入的HTML/CSS符合应用规范的API.
也可以这么说,它是个确保用户无法在HTML中提交恶意代码的API,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中.
在Web应用程序中,"恶意代码"通常是指Javascript.
同时层叠样式表(CSS)在调用Javascript引擎的时候也会被认为是恶意代码.
当然在很多情况下,一些"正常"的HTML和CSS也会被用于恶意的目的,所以我们也会对此予以处理.
冷静地说,AntiSamy项目是违背现代安全机制的.
因为出于安全考虑,安全机制和用户之间的沟通应该是单向的.
而让潜在的攻击者知道验证的细节通常是不明智的,这样会让攻击者学习和探查到系统运行机制以找到薄弱环节.
这种类型的信息泄露可能会造成意想不到的后果.
如果一个登录系统,告诉访问者"用户名不存在",这就泄露出一个事实:这个用户名在系统中确实不存在.
攻击者可以使用一个字典,一个电话本,或者二者结合,在远程得到一个有效的用户列表.
利用这些信息,攻击者可以使用暴力穷举破解进行攻击,或者引发大规模的账户锁定从而造成拒绝服务攻击.
这是很常见的攻击形式.
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
[六一云迎国庆]转盘活动实物礼品美国G口/香港CTG/美国T级超防云/物理机/CDN大促销六一云 成立于2018年,归属于西安六一网络科技有限公司,是一家国内正规持有IDC ISP CDN IRCS电信经营许可证书的老牌商家。大陆持证公司受大陆各部门监管不好用支持退款退现,再也不怕被割韭菜了!主要业务有:国内高防云,美国高防云,美国cera大带宽,香港CTG,香港沙田CN2,海外站群服务,物理机,...
georgedatacenter怎么样?GeorgeDatacenter是一家2017年成立的美国商家,正规注册公司(REG: 10327625611),其实是oneman。现在有优惠,有几款特价VPS,基于Vmware。支持Paypal付款。GeorgeDatacenter目前推出的一款美国vps,2核/8GB内存/250GB NVMe空间/2TB流量/1Gbps端口/Vmware/洛杉矶/达拉...