服务器未设置X-Frame-Options响应头,易受到点击劫持攻击
入口文件增加 // 添加X-Frame-Options头 header('X-Frame-Options: SAMEORIGIN'); 有三个值选择: 当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的 页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。
网站技术
网站安全-链接注入
http://10.191.1.66/gourl?url=%22%3E%3Ciframe%20src=http://www.baidu.com%3E%3C/iframe%3E%22 解决方案: 直接使用filter_xss_input方法即可 if (!function_exists('filter_xss_input')) { /** * 过滤可
在php处理HTTP Host头的风险,
配置 'domain_whitelist' => [ 'example.com', 'www.example.com', // 添加其他允许的域名 ], 方法 function validateHost() { try { // 获取当前请求的host $host = request()->host(true); // 如果host为空,记录日志并抛出异
表单CSRF攻击
增加token config/app.php // 开启CSRF防护 'verify_token' => true, // 表单令牌名称 'form_token_name' => '__token__', // 表单令牌验证规则名称 'form_token_rule_name' => 'token', form {:token()} 提交 验证 $dat
高风险 XSS跨站检测
http://10.191.1.66/search?keyword=%22%3Cscript%3Ealert(133);%3C/scrip%3E%22 if (!function_exists('filter_xss_input')) { /** * 过滤可能导致XSS攻击的特殊字符 * @param string $input 需要过滤的输入 * @ret
宝塔Php Nginx MySQL数据库自动停止或者掉线后,检测并开启
有时候打开网站显示数据库连接错误,我就知道这是MySQL数据库自动停止了导致的网站打不开。我们可以在计划任务那里添加一个定时监控脚本,可以定时间监控MySQL、Nginx是否停止,如果停止就执行重启任务,并且记录日志到 /www 目录中。 原因分析: 一般遇到这种情况说明网站可能遭遇到了小规模cc攻击,数据库或者服务器内存承受不住而掉线了。人总是精力有限,不
robots禁止跳转的gp.php?url 收录
例如上述情况 如何避免go.php 被抓取 http://www.wangmingchang.com/wp-content/themes/begin/inc/go.php?url= 跳转使用你的域名+/wp-content/themes/begin/inc/go.php?* 2.在robots.txt中添加 Disallow:/wp-content/them
ios开发-申请证书
来源链接:https://ask.dcloud.net.cn/article/152以下是复制了上述链接的内容并根据自己的申请情况做了一些注释iOS有两种证书和描述文件:证书类型使用场景开发(Development)证书和描述文件用于开发测试,在 HBuilderX 中打包后可在真机环境通过Safari调试发布(Distribution)证书和描述文件用于提
web渗透测试
常见的web漏洞  黑客攻击思路 信息收集 攻击测试 提升权限 扩大成果 清除痕迹 渗透测试思路 信息收集 攻击测试 暴力破解 google黑语法 inurl 网址中包含指定字符串 inurl:login.php intitle 标题中包含指定字符串 intext 内容中包含指定字符串 更多: https://blog.csdn.net/spang_33/
转| 常用MIME类型
text/html html htm shtml; text/css css; text/xml xml; image/gif gif; image/jpeg jpeg jpg; application/javascript js; application/atom+xml atom; application/rss+xml rss; text/mathml