让我们的服务安全一点

面对XSS(cross site scripting,跨站脚本攻击,在网页中嵌入恶意脚本,以盗取客户端cookie,等,下载木马程序,获取客户端admin权限等),在我们的程序中对输入代码进行转义;

面对CRSF(cross site request forgery,跨站请求伪造),我们一般将cookie 设置成readonly; 增加token;通过referer识别等;

面对SQL注入(将SQL命令伪装成http请求),我们一般使用预编译语句;使用ORM框架;避免密码明文存储等;

面对文件上传漏洞(利用服务器没有对上传文件进行校验,从而上传恶意脚本),我们读取上传文件的前28个字节,转成16进制数,与文件头比较,判断文件类型。

常见文件联系如下:

JPEG:FFD8FF
PNG:89504E47
GIF:47494638
TIFF:49492A00
BMP:424D
DWG:41433130
PSD:38425053
XML:3C3F786D6C
HTML:68746D6C3E
PDF:255044462D312E
ZIP:504B0304
RAR:52617221
WAV:57415645
AVI:41564920

面对DDOS(distributed denial of service,分布式拒绝服务攻击,利用合理客户端请求来过多占用服务器资源,导致客户不可用),我们一般就需要第三方的合作伙伴了...呵呵

时间: 2024-10-15 22:58:55

让我们的服务安全一点的相关文章

对于微服务的一点思考

公司说我们的开发方式是敏捷开发,实际上只是使用了一些敏捷开发的方法,只有遵守敏捷开发的价值观和原则,才能算是敏捷开发.微服务也是一样,不是说拆分成多个服务去部署,就叫做微服务.也不是采用市面上常用的微服务框架,就是微服务了. 上面这段话是我对微服务的简单理解. 随着公司业务的发展,部门领导要求其中一个业务量比较大的要做负载.只给了一周的时间,包括开发和自测.因为时间比较紧,采用了最简单快捷的处理方式:缓存统一放Redis,起了一个辅助项目来做公共和定时器等方面的处理. 此种方式基本把压力推到了R

基于Socket创建Web服务

基于Socket创建Web服务 为什么要使用Socket呢,我们来看下图 Socket原理图回顾: -------------------编写SocketService,完成字母小写转大写功能----------------------------- ServerSocket服务器端代码如下: public static void main(String[] args) throws IOException { // 1:建立服务器端的tcp socket服务,必须监听一个端口 ServerSo

Spring容器装饰者模式应用之实现业务类与服务类自由组合的解决方案

在任何一个项目中都不可或缺的存在两种bean,一种是实现系统核心功能的bean,我们称之为业务类,另外一种是与系统核心业务无关但同时又提供十分重要服务bean,我们称之为服务类.业务类的bean根据每个系统自身核心功能的不同可以有任意多个,但是服务类的种类在各个系统之间的差异却并不是很大.在系统中经常用到的服务有以下几种,权限服务,日志服务,缓存服务,事务服务以及预警服务等.在整个系统的不断进化过程中,服务类与业务类的关系也不断的发生着变化,由当初垂直模式变为横切模式,这也是编程思想不断演化过程

Android开发记录18-集成极光推送的一点说明

Android开发记录18-集成推送服务的一点说明 关于推送服务,国内有很多选择,笔者也对它们进行了一个详细的对比,一般我们产品选择推送服务主要考量以下几个要素: 1.是否收费,如何收费? 2.推送内容是是什么(是否包含通知.消息.富媒体等等) 3.稳定性.及时性如何? 4.集成难度是否简单 5.支持平台有哪些(主流Android.IOS) 6.服务端支持语言(Java.C#.PHP.Python等) 下面笔者例举国内主要的一些推送服务: 来自Devstore的统计,共收录了国内21家推送服务,

微信小程序开发初探

一.关于微信小程序 1.1 小程序诞生的背景 张小龙说道: (1)一切以用户价值为依归→用户是微信的核心,所以微信中没有很多与客户无关的功能,比如QQ中的乱七八糟一系列东西. (2)让创造发挥价值→所有围绕微信的创造比如公众号都应该发挥其应有的价值. (3)用完即走的高效服务→这一点就厉害了word天,微信要打造一个以微信为中心的生态链,不以绑定用户为目标.比如生活中有一些不太常用的app,我们可能一年也使用不了几次,但是有时候就需要用到,微信就想要提供这样一个平台,让你可以在微信中使用这中所谓

浅谈Android四大组建之一Service---Service与Activity的绑定

从上一篇文章我们学会了如何创建Service,我们通过监听一个按钮,然后再按钮里面通过意图来启动Service.但是我们有没有发现,启动服务以后,Activity和Service之间的联系好像就断开了.两个组建么有太多的关联.那么,这一篇文章我们来介绍,服务和活动之间的绑定.BYW,服务可以和任何一个活动绑定,而且绑定后都可以获取到相同的Binder实例. 关于服务的一点小知识: 一个服务,如果我们调用了startService(),然后再去调用stopService(),那么onDestroy

在服务器上排除问题的头五分钟

来源: 伯乐在线 我们团队为上一家公司承担运维.优化和扩展工作的时候,我们碰到了各种不同规模的性能很差的系统和基础设备(大型系统居多,比如CNN或者世界银行的系统).要是再赶上修复时间紧.奇葩的技术平台.缺少信息和文档,基本上这过程都会惨痛到让我们留下深刻的记忆. 遇到服务器故障,问题出现的原因很少可以一下就想到.我们基本上都会从以下步骤入手: 一.尽可能搞清楚问题的前因后果 不要一下子就扎到服务器前面,你需要先搞明白对这台服务器有多少已知的情况,还有故障的具体情况.不然你很可能就是在无的放矢.

App Store生存指南

资格获取 如果已经有App Store开发帐号请跳过此节. App Store的资格获取其实一直以来都不算难,和其它事情一样,需要的只是耐心.现在苹果对申请者的文书手续要求已经比几年前简化多了,我甚至发现网上所有的申请流程贴多多少少都过时了,比如传真纳税协议那一步已经不需要你真的传一份签了字的文件过去了.你要做的就是看仔细苹果要你提供什么,按规矩一样一样来,材料充分付完年费一般两三天就能搞到资格. 盈利模式 你的游戏是何时收钱的?P2P(Pay-to-play).F2P+道具IAP.F2P+内容

android极光推送

版权声明:本文为博主原创文章,未经博主允许不得转载. Android开发记录18-集成推送服务的一点说明 关于推送服务,国内有很多选择,笔者也对它们进行了一个详细的对比,一般我们产品选择推送服务主要考量以下几个要素: 1.是否收费,如何收费? 2.推送内容是是什么(是否包含通知.消息.富媒体等等) 3.稳定性.及时性如何? 4.集成难度是否简单 5.支持平台有哪些(主流Android.IOS) 6.服务端支持语言(Java.C#.PHP.Python等) 下面笔者例举国内主要的一些推送服务: 来