V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  leonwong  ›  全部回复第 1 页 / 共 4 页
回复总数  68
1  2  3  4  
2014-01-02 16:15:40 +08:00
回复了 mr7 创建的主题 程序员 2013年我们读过的好书(更新中)
《1984》
2014-01-02 16:12:11 +08:00
回复了 magicshui 创建的主题 程序员 学习做一个游戏需要储备哪些技术?
会玩游戏
2013-08-26 19:41:12 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@msg7086 https搭建复杂度可能对我而言比较高,而且如果参考孔明社交平台后台管理的话,也是可以不用https的,你说的我会好好斟酌,谢谢
2013-08-26 19:37:16 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@undeadking 是我太依赖js了,的确是舍近求远,我现在采取的措施是,jsp和纯静态混合使用,jsp效率高的就用jsp,html适合的就用html,不坚持用js配合html死做下去
2013-08-26 12:01:23 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@darcy 恩恩。我明白了很多了,具体细节交给我自己捉摸吧,谢谢
2013-08-26 11:18:11 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@darcy 用了好几年也就证明这个模式可行对吧?我的确感觉出这种方式所遇到的安全问题,动态页也是面临的,所以我才会去尝试
2013-08-26 10:54:59 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@msg7086 感谢给出一个非常具体的实施方法,你的描述过程非常符合我的口味啊,我也大概知道纯静态的token该怎么实现了,我还想知道,如何防止因为暴露URL带来的隐患和恶性攻击?因为ajax中会暴露我后台程序的URL信息
2013-08-26 10:47:48 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@PrideChung 的确,我同意你这个看法,但是性能上暂时还在我的可接受范围内,但是可能后来复杂度一增加可能就不如意了,安全隐患其实连我自己都觉得这样很不靠谱,但是我之所以提出此类问题就是想知道不靠谱的地方在哪,一一例举出来,这样才可以找到靠谱的方式去解决,就好像玩网络攻防实验课一样,我觉得这样是一个不错的学习过程,谢谢你能参与进来讨论
2013-08-26 10:43:37 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@Frannk
谢谢你对这种模式的支持,我的安全需求是:
1、要求用户资料相互隔离,不能被爬虫爬到关键隐私信息;
2、能防止CSRF攻击。
如果用https的话,可能成本有点高。大概和微信公众平台管理页面,或者孔明社交管理平台差不多,我也参考过他们的源码,说实话才疏学浅看不明白,也可能是我仅学了jsp,其他平台语言尚未接触,所以看不懂。
另外,您说的第3点和第4点如何实现?(平台是jsp+tomcat服务器)
2013-08-26 10:25:29 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@undeadking 我没有说一定要坚持啦,只是动态页面如果实现的话也是会暴露action提交的url信息,这样其实和纯静态页面配合js来说没什么太大区别,其实最关键的是我还想知道除了token还有没有别的防止因为暴露url而遭受攻击的办法?静态页动态化只是我的尝试,如果论证各方面都不足的话,我是不会坚持的
2013-08-26 10:17:57 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@darcy 通常token应该都是存在session里,存入cookie会不会有不妥?
2013-08-26 10:16:07 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@aaronzheng 这也是我应该考虑的一点,网站安全至少要保证不被爬虫爬到,因为里边是用户的个人信息,有隐私安全的存在,如果不希望被爬虫拖走,您有什么好建议?
2013-08-26 00:11:55 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@aaronzheng 获取参数,比如用户id,可以通过ajax的回调方法给页面某个元素赋值,但是有点多此一举的感觉,因为动态页就轻易实现了,但是静态就是这么大费周章.
2013-08-26 00:10:06 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@zzNucker 3楼貌似用了express框架来实现前端请求验证,最根本还是ajax,我猜想如果运用成熟的js框架,纯静态其实也不是不行,但是这个观点有待考证.

的确坚持纯静态有点困难,也不适合我这个初学者.

我开始有点理解你说的CSRF token难以实现的问题了,因为貌似js文件是不是可以轻易被构造然后也可以轻易更改其提交参数?问题就在于此,token如果能轻易被构造那么验证就无从谈起,你的意思是这样吧?
2013-08-26 00:02:46 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
@kfll express框架我从来没接触过,不过这确实是一个新的解决思路,我可以看看学习一下express
2013-08-25 21:11:56 +08:00
回复了 leonwong 创建的主题 程序员 网站安全性探讨(纯静态页的动态化尝试)
2013-08-25 15:20:24 +08:00
回复了 leonwong 创建的主题 程序员 我想知道token和sessionid的区别是什么
@zzNucker
@PrideChung
token原理我已经理解了,谢谢,也谢谢楼上回答问题的各位,怪我不好,因为这两天没得用电脑,手机打字不方便,所以很多情况没说明白,等我可以用电脑的时候,我再发一帖,我会系统说明我使用的架构和平台,目的是讨论一下网站安全问题,我也会参考资料,谢谢你们的耐心解答
2013-08-25 13:48:28 +08:00
回复了 leonwong 创建的主题 程序员 我想知道token和sessionid的区别是什么
@PrideChung 那如果按照这个说法,我觉得如果cookie没被窃取的话,html配合ajax实现数据请求的安全性还算比较高啊
2013-08-25 13:45:56 +08:00
回复了 leonwong 创建的主题 程序员 我想知道token和sessionid的区别是什么
@cxh116 我还没得用电脑现在,等用电脑,立马拜读帖子
2013-08-25 13:43:51 +08:00
回复了 leonwong 创建的主题 程序员 我想知道token和sessionid的区别是什么
@zzNucker
我是这样的,我将用户的id存在session中,每次请求利用sessionid保持session,也就是说,每次请求都能够确保是该用户发送的请求,因为session里有用户id,然后就返回对应用户json进行数据处理。我已经实现了功能,可是困惑就是不知道这种方式合理不合理?我本来也觉得纯静态实现很不可思议,但是的确也能满足业务功能,那么我想ajax也可以把hidden值提交给服务器,想来想去也没什么不妥。

@undeadking 我的业务功能已经实现了,所以我要多考虑架构和安全,我也觉得我很欠考虑,但是纯静态页面配合js实现了我想要的,token验证我想也可以通过ajax,可能性能上会有劣势,但是功能上跟动态区别不大,就当我在静态页面上的学习和探索,所以可能我会钻牛角尖。
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1020 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 18:25 · PVG 02:25 · LAX 10:25 · JFK 13:25
Developed with CodeLauncher
♥ Do have faith in what you're doing.