运用HTTP Headers防护WEB进犯(Part2)
在前一篇文章《运用HTTP Headers防护WEB进犯(Part1)》中咱们了解到怎么运用X-Frame选项防护点击绑架进犯。在本文中咱们将会评论别的一个HTTP Header选项,X-XSS-Protection。和前一篇文章相似,咱们会先看看缝隙网页然后再运用这个HTTP头选项来防护。
从源码剖析
设置与前一篇文章相似,用户成功登录之后会呈现一个控制台界面,这儿能够进行搜索,如下代码即完成代码:
php
session_start();
session_regenerate_id();
if(!isset($_SESSION['admin_loggedin']))
{
header('Location: index.php');
}
if(isset($_GET['search']))
{
if(!empty($_GET['search']))
{
$text = $_GET['search'];
}
else
{
$text = "No text Entered";
}
}
?>
charset="UTF-8">
Admin Home
rel="stylesheet" href="styles.css">
id="home">
id=text> id="text2">Welcome to Dashboard... You are logged in as: php echo $_SESSION['admin_loggedin']; ?> href="logout.php">[logout]
action="" method="GET">
id="search">
id="text">Search Values type="text" name="search" id="textbox">
type="submit" value="Search" name="Search" id="but"/>
id="error"> id="text2">You Entered:php echo $text; ?>
从上面的代码中,咱们能够看到应用程序没有对用户输入进行过滤而留下了缝隙。
接着,咱们从HTTP呼应头信息中看到应用程序没有任何额定的维护机制。
HTTP/1.1 200 OK
Date: Sun, 12 Apr 2019 14:53:37 GMT
Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0
X-Powered-By: PHP/5.6.2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=f94dc2ac2aa5763c636f9e75365102b5; path=/
Content-Length: 820
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
测验进行时
在搜索框履行一个简略的JavaScript脚本,看看是否成功履行
好吧,我供认这看起来好像没有成功履行,那就翻开控制台看看过错信息吧。
从控制台信息中能够看到谷歌Chrome阻挠了这个脚本。别的,过错提示信息中指出服务器没有启用X-XSS-Protection或许Content-Security-Policy头。
咱们能够经过启用X-XSS-Protection或许Content-Security-Policy头进行过滤。
运用如下代码禁用维护
header("X-XSS-Protection: 0");
将上面的代码添加进源码
php
session_start();
session_regenerate_id();
header("X-XSS-Protection: 0");
if(!isset($_SESSION['admin_loggedin']))
{
header('Location: index.php');
}
if(isset($_GET['search']))
{
if(!empty($_GET['search']))
{
$text = $_GET['search'];
}
[1] [2] [3] 黑客接单网
相关文章
看我是怎么跟羊毛党战役的之我也变成羊毛党
一、前语 快钱、飞凡双旦活动现已曩昔,这儿跟我们共享下我是怎么跟羊毛党战役的。/doge 由所以过后写的,所以其时活动的一些截图或许就没有了,我们自行脑补~ 就当顺便给快钱、飞凡打个广告啦~ 二、导火...
360和腾讯,想找网络黑客怎么找,哪里能找真正的黑客
一般在企业中职工薪酬都被视为秘要,这太让人心痒痒了,我内心里总有一种激动想要知道搭档们究竟赚多少钱,尽管更多的时分知道真相会不爽,但仍是不由得,那种感觉就像女性血拼后想要剁手的心境相同的,这种窥探的心...
靠谱的黑客接单群_在哪里找黑客帮我盗会QQ号
快递面单FireEye运用本身的专业知识和内部开发的相似性引擎,来评价安排和举动之间的潜在相关和联系。 运用文档聚类和主题建模的概念,该引擎供给了一个结构,用于核算和发现活动安排之间的相似性,为后续剖...
赌博转给对方支付宝赢了钱不回我可以要回来吗
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64...
黑客接单网,找黑客定位手机,淘宝找黑客改成绩交订金
eg. 页面:/upfile.asp由于假如咱们能够经过一些技巧将开端的 imageData 消除的话就能够经过将 URL 中的 ID 设置为 imageData ,随后修正 URL 中的 ty...
赌钱输钱还想把输了的赢回来然后就不赌了但是怕
Spring Cloud Config 1.4.0 to 1.4.51. 蠕虫威胁,类似于WannaCry的场景。 根据微软安全响应中心(MSRC)发布的博客文章,远程桌面协议(RDP)本身不容易收到...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!