来源：https://www.trustasia.com/news-201801-what-is-the-role-and-generation-of-csr-and-csr摘要说起SSL证书的时候，势必会提到CSR这么一个词汇，本文就围绕CSR是什么，什么样，如何生成等内容做个详细的说明。关键字：CSR，SSL证书，...

 在申请数字证书之前，您必须先生成证书私钥和证书请求文件(CSR,CerificateSigningRequest),CSR是您的公钥证书原始文件，包含了您的服务器信息和您的单位信息，需要提交给CA认证中心。在生成CSR文件时会同时生成私钥文件，请妥善保管和备份您的私钥。生成CSR文件时，一般需要输入以下信息...

1.介绍　　我们之前从前端给后端发送数据的时候，一直都是把setting中中间件里的的csrftoken这条给注释掉，其实这个主要起了一个对保护作用，以免恶意性数据的攻击。但是这样直接注释掉并不是理智型的选择，这里我们介绍以下几种方式来解决这个问题。　　csrf原理：先发送get请求，在用户浏览器上藏一段随机字符串，发...

中间件一、什么是中间件请求的时候需要先经过中间件才能到达django后端（urls,views,templates,models）响应的时候也需要经过中间件才能到达web服务网关接口   django默认的七个中间件MIDDLEWARE=['django.middleware.securi...

基于SpringSecurity+SpringMVC的web应用，为了防止跨站提交攻击，通常会配置csrf，即：1<http...>2...3<csrf/>4</http>如果应用中有Post方式访问的Rest服务(参考下面的代码)，会很不幸的发现，所有POST方式请求的服务会调用失...

今天尝试在mac机上搭建dockerregistry私有仓库时，杯具的发现最新的registry出于安全考虑，强制使用ssl认证，于是又详细了解linux/mac上openssl的使用方法，接触了一堆新英文缩写，整理于下：TLS：传输层安全协议TransportLayerSecurity的缩写SSL：安全套接字层Sec...

csrf是跨站点伪造请求，主要利用发请求，浏览器每次都会自动带上cookie这个特点。下面我们看看例子：例子一：如果博客园有一个关注博主的api是get请求的话，那这里我新建一个恶意页面：<!DOCTYPEhtml><html><head><metacharset="utf-8...

如果前端请求，后端返回信息如下，说明前端请求缺乏X-CSRFToken头，或者这个header头的值不正确CSRFFailed:CSRFtokenmissingorincorrect解决办法：1、添加X-CSRFTokenfunctiongetCookie(name){letvalue=';'+document.coo...

在web.xml配置文件中修改dwr的配置：Xml代码 ...

参考官方文档：http://docs.jinkan.org/docs/flask/security.html1、xssFlask配置Jinja2自动转义所有值，除非显式地指明不转义。这就排除了模板导致的所有XSS问题，但是你仍需要在其它的地方小心:生成HTML而不使用Jinja2在用户提交的数据上调用了 Ma...

django中的Form一般有两种功能：输入html验证用户输入html页面<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><title></title><style>.e...

一、通过referer、token或者验证码来检测用户提交。<metaname="referrer"content="never">referer的metedata参数可以设置为以下几种类型的值：neveralwaysorigindefault或者单独给资源设置：<imgsrc="https://aa...

XSS：跨站脚本（Cross-sitescripting）CSRF：跨站请求伪造（Cross-siterequestforgery）定义：跨网站脚本（Cross-sitescripting，通常简称为XSS或跨站脚本或跨站脚本攻击）,为了与层叠样式表（CascadingStyleSheets）区分，故命名为XSSXSS...

SSL -SecureSocketsLayer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的...

csrf默认启用全局配置'components'=>array('request'=>array(//EnableYiiValidateCSRFToken'enableCsrfValidation'=>true,),),  函数内配置public$enableCsrfValidat...