Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202909
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-26 15:52:29

随便写点东西。

昨天写的那篇blog server limit dos

很多站都存在这个问题。

目前看来防御方案最终还是需要在apache的层面去解决,比较好的方案是增加一个mod

其他的方案基本上都不是"在正确的地方做正确的事情" .


此外憋了好久的一个老问题是:一些服务端的 json encode 函数存在bug,没有严格的处理所有字符。 比较典型的就是没有编码 < >

比如 php 里的 json_encode() 函数, 在默认情况下,就没有转义 < > ,虽然有参数来控制可以编码他们,但该参数不是必须的。

这样就导致,如果没有设置 content-type 的情况下,直接请求json callback 页面,会出现XSS

google reader 做的就比较好,对于非字母、数字的字符,全部使用unicode给编码了。即便 content-type 配置错误,或者没有配置,也不会出现什么问题。

所以,总结json 的安全需求:
1
安全的 json encode 函数
2
配置好 content-type (配置为: text/javascript)

阅读(1094) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~