leonwong 最近的时间轴更新 leonwong 最近的时间轴更新 |
leonwongV2EX 第 40986 号会员,加入于 2013-06-21 13:31:24 +08:00 |
| 网站安全性探讨(纯静态页的动态化尝试) 程序员 • leonwong • 2013-08-25 21:04:01 PM • 最后回复来自 leonwong | 33 |
| 我想知道token和sessionid的区别是什么 程序员 • leonwong • 2017-05-15 22:33:43 PM • 最后回复来自 gelilaohuang | 42 |
| 问个问题,关于Android图片分辨率大小处理的问题 程序员 • leonwong • 2013-08-07 16:27:22 PM • 最后回复来自 ss1271 | 3 |
| 请教一个关于Android登陆保持的问题 程序员 • leonwong • 2013-08-03 18:06:04 PM |
| afinal 哪位大神用过它快速开发Android?怎么对cookie处理的封装? 问与答 • leonwong • 2013-08-02 18:19:29 PM • 最后回复来自 leonwong | 2 |
| InnoDB不支持hash索引,怎么破? MySQL • leonwong • 2013-07-30 15:26:31 PM • 最后回复来自 jasontse | 19 |
| java 数据库异常有多少种,能否有人帮忙列举出来? Java • leonwong • 2013-07-28 09:49:42 AM • 最后回复来自 leonwong | 8 |
| 请问如何将自增id通过某种算法映射得出6位既包含字母又包含数字的随机字符串? 问与答 • leonwong • 2013-07-26 17:39:24 PM • 最后回复来自 leonwong | 34 |
leonwong 最近回复了
2014-01-02 16:15:40 +08:00 回复了 mr7 创建的主题 › 程序员 › 2013年我们读过的好书(更新中) |
《1984》
2014-01-02 16:12:11 +08:00 回复了 magicshui 创建的主题 › 程序员 › 学习做一个游戏需要储备哪些技术? |
会玩游戏
2013-08-26 19:41:12 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@msg7086 https搭建复杂度可能对我而言比较高,而且如果参考孔明社交平台后台管理的话,也是可以不用https的,你说的我会好好斟酌,谢谢
2013-08-26 19:37:16 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@undeadking 是我太依赖js了,的确是舍近求远,我现在采取的措施是,jsp和纯静态混合使用,jsp效率高的就用jsp,html适合的就用html,不坚持用js配合html死做下去
2013-08-26 12:01:23 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@darcy 恩恩。我明白了很多了,具体细节交给我自己捉摸吧,谢谢
2013-08-26 11:18:11 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@darcy 用了好几年也就证明这个模式可行对吧?我的确感觉出这种方式所遇到的安全问题,动态页也是面临的,所以我才会去尝试
2013-08-26 10:54:59 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@msg7086 感谢给出一个非常具体的实施方法,你的描述过程非常符合我的口味啊,我也大概知道纯静态的token该怎么实现了,我还想知道,如何防止因为暴露URL带来的隐患和恶性攻击?因为ajax中会暴露我后台程序的URL信息
2013-08-26 10:47:48 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@PrideChung 的确,我同意你这个看法,但是性能上暂时还在我的可接受范围内,但是可能后来复杂度一增加可能就不如意了,安全隐患其实连我自己都觉得这样很不靠谱,但是我之所以提出此类问题就是想知道不靠谱的地方在哪,一一例举出来,这样才可以找到靠谱的方式去解决,就好像玩网络攻防实验课一样,我觉得这样是一个不错的学习过程,谢谢你能参与进来讨论
2013-08-26 10:43:37 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@Frannk
谢谢你对这种模式的支持,我的安全需求是:
1、要求用户资料相互隔离,不能被爬虫爬到关键隐私信息;
2、能防止CSRF攻击。
如果用https的话,可能成本有点高。大概和微信公众平台管理页面,或者孔明社交管理平台差不多,我也参考过他们的源码,说实话才疏学浅看不明白,也可能是我仅学了jsp,其他平台语言尚未接触,所以看不懂。
另外,您说的第3点和第4点如何实现?(平台是jsp+tomcat服务器)
谢谢你对这种模式的支持,我的安全需求是:
1、要求用户资料相互隔离,不能被爬虫爬到关键隐私信息;
2、能防止CSRF攻击。
如果用https的话,可能成本有点高。大概和微信公众平台管理页面,或者孔明社交管理平台差不多,我也参考过他们的源码,说实话才疏学浅看不明白,也可能是我仅学了jsp,其他平台语言尚未接触,所以看不懂。
另外,您说的第3点和第4点如何实现?(平台是jsp+tomcat服务器)
2013-08-26 10:25:29 +08:00 回复了 leonwong 创建的主题 › 程序员 › 网站安全性探讨(纯静态页的动态化尝试) |
@undeadking 我没有说一定要坚持啦,只是动态页面如果实现的话也是会暴露action提交的url信息,这样其实和纯静态页面配合js来说没什么太大区别,其实最关键的是我还想知道除了token还有没有别的防止因为暴露url而遭受攻击的办法?静态页动态化只是我的尝试,如果论证各方面都不足的话,我是不会坚持的
Select Language