28,391
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
vivisogood 2003-11-21
- 打赏
- 举报
利用类似验证码这样的方法来处理
aspczlover 2003-11-21
- 打赏
- 举报
防火墙是可信任的Intranet和不可信任的Internet之间的分界线。
所有来自信任分界线之外的数据未经检查就不应该进入Web应用,这包括所有传递给CGI脚本的参数,比如:GET、POST和COOKIE变量,HTTP_REFERER、HTTP_USER_AGENT和所有HTTP_*变量,以及所有其他远程生成的变量值。使用所有这些变量之前,都必须对它们进行合法性检查,这种检查可以确保变量的值确实在预期的范围内。
有些脚本在请求的HTTP_REFERER正确时就接受表单输入,这是一种常见但错误的编程习惯。脚本用这种机制来防范伪造的请求是徒劳的。毫无疑问,对于攻击者来说,掌握必需的HTTP_REFERER并将它并入请求的其余部分一起发送是轻而易举的,因此这种保护是没有用的。这种脚本的错误在于:在这类调用中必须检查的不仅仅是HTTP_REFERER值,所有其他值都必须进行检查...
所有来自信任分界线之外的数据未经检查就不应该进入Web应用,这包括所有传递给CGI脚本的参数,比如:GET、POST和COOKIE变量,HTTP_REFERER、HTTP_USER_AGENT和所有HTTP_*变量,以及所有其他远程生成的变量值。使用所有这些变量之前,都必须对它们进行合法性检查,这种检查可以确保变量的值确实在预期的范围内。
有些脚本在请求的HTTP_REFERER正确时就接受表单输入,这是一种常见但错误的编程习惯。脚本用这种机制来防范伪造的请求是徒劳的。毫无疑问,对于攻击者来说,掌握必需的HTTP_REFERER并将它并入请求的其余部分一起发送是轻而易举的,因此这种保护是没有用的。这种脚本的错误在于:在这类调用中必须检查的不仅仅是HTTP_REFERER值,所有其他值都必须进行检查...
yonghengdizhen 2003-11-21
- 打赏
- 举报
进行会话状态校验.
