第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

sql注入攻击

也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语句绕开程序判断,获取到数据库的内容

所以需要对用户输入的内容进行判断合法性,Django的orm对sql注入进行了处理

第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

xss攻击

就是黑客通过,构造网站的动态url传参在URL传入js代码,获取到用户的cookie,在根据cookie来冒充用户做用户行为,所以尽量用post来提交信息,如果有动态get请求的URL要对参数做判断

第一步

第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

第二步

第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

csrf攻击

就是用户登录了一个可信任的网站A时保存了A网站的cookie,当用户又访问了b网站,b网站里做了伪装用户对a网站的请求操作,那么当用户在请求b网站时,就会自动伪装用户行为到A网站操作,因为A网站的cookie还存在, 所以Django里一定要启用Django的csrf攻击防范

第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击

上一篇:[UFLDL] Dimensionality Reduction


下一篇:关于div+css排版布局中需注意的细节问题