当前位置:主页   - 电脑 - 网络技术 - 网络安全
Web安全实践(15)CSRF(跨站请求伪造)-从校内的插入图片说起
来源:网络   作者:   更新时间:2010-09-27
收藏此页】    【字号    】    【打印】    【关闭

15.1 从校内说起

  (一)简单效果

   话说校内网目前俨然是中国第一大学生社交网站了,它的安全性也是从最初的一塌糊涂越变越好。客户端验证也从最初可以添加任意代码(html,css,script)到现在的只允许css,而且过滤了关键字,进行服务器端验证。。。使用校内的过程中真的学到了不少知识。偶尔在校内写写日志,难免会注意它的编辑器。

Web安全实践(15)CSRF(跨站请求伪造)-从校内的插入图片说起

  这就是编辑器的全部功能。它不允许查看源代码,当然这不是问题,因为我们知道日志的呈现结果必须是html代码的。随便找个在线编辑器就可以编辑了,然后把编辑后的内容贴过来就好了。不过校内做的还不错,对贴过来的内容也做了过滤,我试着添加script结果都在服务器端被过滤掉了。不知不觉给校内做了个广告。。。下面看我发的一篇日志吧:

  题目:我的处男生涯

  “你来了,

   你真的来了,

  但你想走的时候。。。。

  已经晚了。。。

Web安全实践(15)CSRF(跨站请求伪造)-从校内的插入图片说起

  ”

  校内来访问我日志的人,在想离开的时候发现跳到了这个页面:

Web安全实践(15)CSRF(跨站请求伪造)-从校内的插入图片说起

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明