登录/注册
下载豆瓣客户端
豆瓣
6.0
全新发布
×
豆瓣
扫码直接下载
iPhone
·
Android
豆瓣
读书
电影
音乐
同城
小组
阅读
FM
时间
豆品
豆瓣读书
搜索:
购书单
电子图书
2023年度榜单
2023年度报告
《Web应用安全权威指南》的原文摘录
按热度排序
按页码排序
未指定Domain属性时,Cookie只被发送至生成它的服务器。换言之,未指定Domain属性的Cookie发送范围最小,最安全。 设置了Secure属性的Cookie尽在SSL传输的情况下能够被发送给服务器。而未设置安全属性的Cookie则无关是否为SSL传输,都会被发送。 设置了HttpOnly属性也无法彻底抵御跨站脚本攻击,但是能加大攻击的难度。 (
查看原文
)
我很严肃的
1赞
2014-11-10 22:00:30
—— 引自第43页
同源策略(Same Origin Policy)是禁止Javascript进行跨站访问的安全策略。它也是浏览器的沙盒环境所提供的一项制约。 严格来说,“同源”需满足以下全部条件。 - URL的主机(FQDN: Full Qualified Dmoain Name,全称域名)一致。 - Schema(协议)一致。 - 端口号一致。 (
查看原文
)
我很严肃的
2014-11-10 22:17:13
—— 引自第49页
X-FRAME-OPTIONS是微软公司提出的一种限制frame和iframe访问权限的方案…… X-FRAME-OPTIONS被定义在相应头信息中,值为DENY(拒绝)或者SAMEORIGIN(仅限同源)。指定了DENY的相应将不能显示在frame等的内层中,而SAMEORIGIN的\\ 情况下则仅当与地址栏上显示的域名为同源时才能够被显示。 (
查看原文
)
我很严肃的
2014-11-10 22:37:51
—— 引自第52页
>
我来写笔记
>
Web应用安全权威指南
作者:
德丸浩
isbn:
7115370478
书名:
Web应用安全权威指南
页数:
378
译者:
赵文
,
刘斌
定价:
79
出版社:
人民邮电出版社
出版年:
2014-10
装帧:
平装