跨站點腳本(Cross-Site Scripting:XSS)和注入(Injection)
輸入驗證可以有效緩解跨站點腳本(XSS)和注入。沒有輸入驗證,惡意用戶可以輸入JavaScript,SQL或XML代碼來攻擊系統。
跨站請求偽造(Cross-Site Request Forgery:CSRF)
跨站請求偽造(CSRF)是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件:
重播(Replay)
重播可能由中間人,惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
. 跨站點腳本(XSS)
. 跨站請求偽造(CSRF)
. 防止ASP.NET MVC應用程序中的跨站點請求偽造(CSRF)攻擊
. 財務導向的Web應用程序中的常見安全問題
. 同源政策
. 同源策略:現代瀏覽器中的評估
. 現代瀏覽器中的原始策略執行
. 同源政策的權威指南
. 靜默提交POST表單(CSRF)的示例
資料來源: Wentz Wu QOTD-20200520
個人部落格:https://choson.lifenet.com.tw/