部署了EV SSL证书是不是能提高在线交易的安全?
本质上EV SSL 和SSL没有任何加密方面的区别
加密安全是由随机数的生成方式,密钥交换手段、对称加密算法、完整性校验算法决定的。
比方说说DHE_RSA-AES256_CBC-SHA1要比RSA-RC4-MD5(从加密级别上)来得"安全"
它的出现是因为普通的SSL证书无法区分验证仔细程度:
StactSSL的免费证书只需要你证明你是某个域名的主人即可
可是更高级别的商业网站认证还需要提供更多的合法经营证明才行
可是,使用普通证书,两者显示的内容是一样多的
对于客户而言,使用EV SSL可以显示更多服务器方面的信息,按照标准设计的浏览器会更突出显示(往往是整条地址栏变成绿色)
这也导致在遭受XSS攻击时,EV SSL网站潜在地会有更大风险---人们会更信任绿色的地址栏,却难以知晓SSL对帮助防御XSS没有作用
为什么需要使用及怎样使用CDN?
当今世界,对所有人而言,网站必须具有一切功能:网站必须有吸引力、速度快、有灵活性及可移动性,甚至必须要能够不断变化。此外,还必须支持频繁的会话、支持各种浏览器、智能手机、平板电脑以及其它用户可能会用到的设备。
网站必须能够在复杂的 *** 环境下运行,比如中国、亚洲、中东等 *** 连接很差的区域或国家,这些地方不仅地理位置分散,距离遥远而且 *** 多样化。更不必说,对于移动站点或应用程序而言,不仅有线连接如DSL或电缆线甚至无线连接如GPRS、EDGE、3G 及现在的LTE等,都必须有很高的连接性能,然而即使是这些提供连接服务的供应商都可能不会有很好的 *** 连接。
此外,站点使用越来越多的对象,如图片、帧、CSS及APIs,比如AJAX,以及远程调用,比如从Facebook调用到Google,甚至使用各种各样的共享、跟踪及附加值系统等。
难怪,系统变得越来越慢,用户只访问能够最快打开、性能更好的网站。Google及其它网站的研究表明,一个网站每慢一秒钟,就会丢失许多访客,甚至这些访客永远不会再次光顾这些网站。
输入CDN或是内容分发 *** ,你就会搜索到国际公司如Akamai及Limelight,及中国公司如ChinaCache及ChinaNetCenter,他们可以帮助用户提高网站浏览性能,如浏览互联网站、 *** 游戏网站及应用程序。
CDN支持许多种服务,最常用的服务有:
下载 – 下载服务是CDN提供的最简单的服务,通常是一些终端用户,如网游用户、软件用户、程序开发员及要下载大量文件的用户会使用到。通过使用CDN,人们便无需使用高带宽连接到昂贵的数据中心,并且通过CDN节点,这些文件会放到离终端用户更近的地方。
静态文件/图片 – CDN最常用的用途是用来给终端用户发布静态文件,如图片、java脚本、css文件等。通常这些类型的文件很少变更,即便有变更,也是少量的,所以,把文件发布并存放到离终端用户比较近的地方会极大地提高网站速度,在地理位置分散或连接性能很差的地方,网站速度提高会显得更加明显。请注意,该服务仅仅用于处理静态文件,如主要的网站页面,所有动态内容,都是由主网站服务器提供。这通常是分开处理的,通过不同的子域名进行处理,如images.mydomain.com,与www.是分开的。
WSA – 即整体网站加速,正变得越来越流行。从名称便可知道,它是用来加速整个网站的,包括所有的静态的东西及动态的东西,如网页、购物车及推荐信息等。基本情况是,终端用户只连接到CDN,CDN连接到网站,然后缓存所有的东西,CDN代表用户向实体的网站后台发送请求,获取动态数据。
当然,CDN只能改善一部分内容的访问速度,因为其它的内容,如采购历史、产品库存等必须直接从后台网站获得。对于连接性很差的 *** ,如移动 *** 以及复杂的难以将静态内容从静态CDN分离出来的网站来说,WSA尤为好用。注意,为确保WSA成功,谨慎的配置及缓存控制头信息是非常重要的,因为CDN需要知道要缓存哪些东西,以及哪些东西是要传递到后台的。
流媒体内容- 媒体类网站使用越来越多的流媒体内容,如视频,包括来自于其它网站(如Netflix、Hulu、或Youtube及中国的Tudou/Youku)的实际的电视节目、影片等。对于这些内容而言,CDN提供特别的下载服务,通常称之为点播或Vod,可以处理并控制所有视频,包括快进/后退视频,可以访问经过授权的内容,提供各种跟踪服务等。对于这些服务而言,视频通常是加载到CDN,并且通过特定的URL直接提供视频。此外,一些CDN还提供现场流体内容,如,体育或其它事件等实时播放,进行现场内容直播。
其它- CDN有许多其它功能及服务,以满足特殊需求,如电商、预加载、网游、动态加速、安全及DRM控制等。此外,还提供特殊的满足地理要求或 *** 要求(如中国移动或CERNET)的特别服务。
CDN还有一个服务容易被人忽略,就是安全服务。例如,许多CDN可提供防DDoS攻击服务,由于它们比任何一个网站的带宽都大,而且分散,所以能够经受住此类攻击。此外,一些专门的CDN如,CloudFlare 及 AnQuanBao 也提供像防火墙一样的应用程序,如防止SQL注入攻击、XSS攻击及其它防攻击手段以保护后台站点。
另一个特别的主要服务就是“内容感知” *** 服务。这是一种新新服务,是通过CDN系统的更智能化管理的内容,可以给不同用户,如移动或DSL或办公室用户等提供不同的优化过的内容。它可以对内容进行处理,以便提供给不同设备,也可以对内容进行优化,以便将最重要的内容优先下载下来,使用户获得更佳体验。它们还会判断在哪个地方存放哪些内容,总之,该系统能够使网站在复杂的互联网环境下有良好的性能表现。
最后,有些CDN还提供全球服务,帮助客户开拓新区域或国际区域,如中国、拉美或国外其它地区。对于全球品牌而言,这种服务非常重要,对于想要获得国际客户的中国公司而言,这种服务也非常重要。这种全球或局部CDN帮助人们在无需数据中心及特别带宽等情形下,便可获得庞大的用户群。
根据您的需求及站点架构,使用CDN是非常容易的。对于静态/图片CDN而言,关键的一点在于能够将静态内容或图片分离到特定的域名,然后存放到同一服务器上不同的虚拟机上。
要想使用好CDN,最关键的一点还在于能够有良好的缓存控制。这样,CDN能够知道缓存哪些对象以及要缓存多长时间。理想的情况是,像图片这些东西基本很少发生变化,若有更新的话,应该将文件名/URL更改掉并且HTML变更到指向新的对象。有时候,要进行这些更改并不容易,因为必须在源主机进行更新,这就要求短时间的(1个小时或1天)缓存这些东西,或者使这些在CDN缓存中失效。
对于任何网站而言,更好的做法也许是将两种 *** 结合使用,也就是使用CDN来处理静态HTML页面,使用AJAX处理动态数据。这样便可以从后台系统提供服务数据,给用户快速提供动态数据,使用户有良好的体验。
监控 – 要想很好地跟踪CDN的运行情况,就必须使用监控工具,如Gomez、ip-label或Network Bench。它们可以帮助您监控CDN的实际性能,这一点可以从不同的 *** 及终端用户的使用情况中得到证实。并且,这样做有助于识别并发现问题,确保CDN服务能按照所期望的运作。
总之,几乎每个人都应该使用CDN,尤其是现在的世界生活节奏快、充满活力、要求又很苛刻,所以人们更应当使用CDN。
为什么使用s:url 页面上会显示sessionid?
放于服务器端,打开空间的ID 存放于 客户端的cookie, 如果客户端关闭了cookie,session就不能正常的使用。
来源:
Session 的中文译名叫做“会话”,其本来的含义是指有始有终的一系列动作/消息,比如打 *** 时从拿起 *** 拨号到挂断 *** 这中间的一系列过程可以称之为一个 session。目前社会上对session的理解非常混乱:有时候我们可以看到这样的话“在一个浏览器会话期间,...”,这里的会话是指从一个浏览器窗口打开到关闭这个期间;也可以看到“用户(客户端)在一次会话期间”这样一句话,它可能指用户的一系列动作(一般情况下是同某个具体目的相关的一系列动作,比如从登录到选购商品到结账登出这样一个网上购物的过程;然而有时候也可能仅仅是指一次连接;其中的差别只能靠上下文来推断了。
然而当session一词与 *** 协议相关联时,它又往往隐含了“面向连接”和/或“保持状态”这样两个含义,“面向连接”指的是在通信双方在通信之前要先建立一个通信的渠道,比如打 *** ,直到对方接了 *** 通信才能开始。“保持状态”则是指通信的一方能够把一系列的消息关联起来,使得消息之间可以互相依赖,比如一个服务员能够认出再次光临的老顾客并且记得上次这个顾客还欠店里一块钱。这一类的例子有“一个TCP session”或者“一个POP3 session”。
鉴于这种混乱已不可改变,要为session下个定义就很难有统一的标准。而在阅读session相关资料时,我们也只有靠上下文来推断理解了。不过我们可以这样理解:例如我们打 *** ,从拨通的那一刻起到挂断 *** 期间,因为 *** 一直保持着接通的状态,所以把这种接通的状态叫做session。它是访客与整个网站交互过程中一直存在的公有变量,在客户端不支持COOKIE的时候,为了保证数据正确、安全,就采用SESSION变量。访问网站的来客会被分配一个唯一的标识符,即所谓的会话 ID。它要么存放在客户端的 cookie,要么经由 URL 传递。
SESSION的发明填补了 HTTP协议的局限:HTTP协议被认为是无状态协议,无法得知用户的浏览状态,当它在服务端完成响应之后,服务器就失去了与该浏览器的联系。这与 HTTP协议本来的目的是相符的,客户端只需要简单的向服务器请求下载某些文件,无论是客户端还是服务器都没有必要纪录彼此过去的行为,每一次请求之间都是独立的,好比一个顾客和一个自动售货机或者一个普通的(非会员制)大卖场之间的关系一样。
因此通过SESSION(cookie 是另外一种解决办法)记录用户的有关信息,以供用户再次以此身份对web服务器提起请求时作确认。会话的发明使得一个用户在多个页面间切换时能够保存他的信息。网站编程人员都有这样的体会,每一页中的变量是不能在下一页中使用的(虽然form,url也可以实现,但这都是非常不理想的办法),而 SESSION中注册的变量就可以作为全局变量使用了。
那么SESSION到底有什么用处呢?网上购物时大家都用过购物车,你可以随时把你选购的商品加入到购物车中,最后再去收银台结帐。在整个过程中购物车一直扮演着临时存贮被选商品的角色,用它追踪用户在网站上的活动情况,这就是 SESSION的作用,它可以用于用户身份认证,程序状态记录,页面之间参数传递等。
SESSION的实现中采用COOKIE技术,SESSION会在客户端保存一个包含session_id(SESSION编号)的COOKIE;在服务器端保存其他session变量,比如 session_name等等。当用户请求服务器时也把session_id一起发送到服务器,通过session_id提取所保存在服务器端的变量,就能识别用户是谁了。同时也不难理解为什么SESSION有时会失效了。
当客户端禁用COOKIE时(点击IE中的“工具”— “Internet选项”,在弹出的对话框里点击“安全”—“自定义级别”项,将“允许每个对话COOKIE”设为禁用),session_id将无法传递,此时SESSION失效。不过php5在linux/unix平台可以自动检查cookie状态,如果客户端设置了禁用,则系统自动把 session_id附加到url上传递。windows主机则无此功能。
Session常见函数及用法?
Session_start() :开始一个会话或者返回已经存在的会话。
说明:这个函数没有参数,且返回值均为true。如果你使用基于cookie的session(cookie-based sessions),那么在使用Session_start()之前浏览器不能有任何输出,否则会发生以下错误: Warning: Cannot send session cache limiter - headers already sent (output started at /usr/local/apache/htdocs/cga/member/1.php:2)…………
你可以在php.ini里启动session.auto_start=1,这样就无需每次使用session之前都要调用session_start()。但启用该选项也有一些限制,如果确实启用了 session.auto_start,则不能将对象放入会话中,因为类定义必须在启动会话之前加载以在会话中重建对象。
请求结束后所有注册的变量都会被序列化。已注册但未定义的变量被标记为未定义。在之后的访问中这些变量也未被会话模块定义,除非用户以后定义它们。
警告: 有些类型的数据不能被序列化因此也就不能保存在会话中。包括 resource 变量或者有循环引用的对象(即某对象将一个指向自己的引用传递给另一个对象)。
注册SESSION变量:
PHP5使用$_SESSION[‘xxx’]=xxx注册SESSION全局变量。
和GET,POST,COOKIE的使用 *** 相似。
注意:session_register(),session_unregister ,session_is_registered在php5下不再使用,除非在php.ini里把register_globle设为on,不过出于安全考虑,强烈建议关闭register_globle。HTTP_SESSION_VARS也不提倡使用了,官方建议用$_SESSION代替之。
例如:
Page1.php <?php Session_start(); //使用SESSION前必须调用该函数。
$_SESSION[‘name’]=”我是黑旋风李逵!”;
//注册一个SESSION变量 $_SESSION[‘passwd’]=”mynameislikui”;
$_SESSION[‘time’]=time();
echo '<br /><a href="page2.php">通过COOKIE传递SESSION</a>';
//如果客户端支持cookie,可通过该链接传递session到下一页。
echo '<br /><a href="page2.php?' . SID . '">通过URL传递SESSION</a>';
//客户端不支持cookie时,使用该办法传递session. ?>
Page2.php <?php session_start(); echo $_SESSION['name'];
// echo $_SESSION['passwd'];
// echo date('Y m d H:i:s', $_SESSION['time']);
echo '<br /><a href="page1.php">返回山一页</a>'; ?>
有两种 *** 传递一个会话 ID: cookie URL 参数
会话模块支持这两种 *** 。cookie 更优化,但由于不总是可用,也提供替代的 *** 。第二种 *** 直接将会话 ID 嵌入到 URL 中间去。 PHP 可以透明地转换连接。除非是使用 PHP 4.2 或更新版本,需要手工在编译 PHP 时激活。在 Unix 下,用 --enable-trans-sid 配置选项。如果此配置选项和运行时选项 session.use_trans_sid 都被激活(修改php.ini),相对 URI 将被自动修改为包含会话 ID。
● session_id session_id() 用于设定或取得当前session_id。
php5中既可以使用session_id(),也可以通过附加在url上的SID取得当前会话的session_id和session_name。
如果session_id()有具体指定值的话,将取代当前的session_id值。使用该函数前必须启动会话:session_start(); 当我们使用session cookies时,如果指定了一个session_id()值,每次启动session_start()都会往客户端发送一个cookie值。不论当前 session_id是否与指定值相等。
session_id()如果没有指定值,则返回当前session_id();当前会话没有启动的话,则返回空字符串。
● 检查session是否存在?
在以往的php版本中通常使用session_is_register()检查session是否存在,如果您使用$_SESSION[‘XXX’]=XXX来注册会话变量,则session_is_register()函数不再起作用。你可以使用 isset($_SESSION[‘xxx’])来替代。
● 更改session_id session_regenerate_id() 更改成功则返回true,失败则返回false。
使用该函数可以为当前session更改session_id,但不改变当前session的其他信息。
例如:
<?php
session_start();
$old_sessionid = session_id();
session_regenerate_id();
$new_sessionid = session_id();
echo "原始 SessionID: $old_sessionid<br />";
echo "新的 SessionID: $new_sessionid<br />";
echo"<pre>"; print_r($_SESSION);
echo"</pre>";
?>
● session_name() 返回当前session的name或改变当前session的name。
如果要改变当前session的name,必须在session_start()之前调用该函数。
注意:session_name不能只由数字组成,它至少包含一个字母。否则会在每时每刻都生成一个新的session id.
session改名示例:
<?php
$previous_name = session_name("WebsiteID");
echo "新的session名为: $previous_name<br />";
?>
● 如何删除session?
1、unset ($_SESSION['xxx']) 删除单个session,unset($_SESSION['xxx']) 用来unregister一个已注册的session变量。其作用和session_unregister()相同。 session_unregister()在PHP5中不再使用,可将之打入冷宫。
unset($_SESSION) 此函数千万不可使用,它会将全局变量$_SESSION销毁,而且还没有可行的办法将其恢复。用户也不再可以注册$_SESSION变量。
2、$_SESSION=array() 删除多个session
3、session_destroy()结束当前的会话,并清空会话中的所有资源。。该函数不会unset(释放)和当前session相关的全局变量 (globalvariables),也不会删除客户端的session cookie.PHP默认的session是基于cookie的,如果要删除cookie的话,必须借助setcookie()函数。
返回值:布尔值。
功能说明:这个函数结束当前的session,此函数没有参数,且返回值均为true
session_unset() 如果使用了$_SESSION,则该函数不再起作用。由于PHP5必定要使用$_SESSION,所以此函数可以打入冷宫了。
下面是PHP官方关于删除session的案例:
<?php // 初始化session. session_start();
$_SESSION = array();
if (isset($_COOKIE[session_name()]))
// 最后彻底销毁session. session_destroy();
?>
由此我们可以得出删除Session的步骤:
①session_start()
②$_SESSION=array()/unset($_SESSION['xxx'])
③session_destroy()
● SESSION安全:
会话模块不能保证存放在会话中的信息只能被创建该会话的用户看到。根据其存放的数据,还需要采取更多措施来主动保护会话的完整性。
评估会话中携带的数据并实施附加保护措施通常要付出代价,降低用户的方便程度。例如,如果要保护用户免于受简单的社交策略侵害(注:指在 URL 中显示的会话 ID 会被别人在电脑屏幕上看到,或被别的网站通过 HTTP Referer 得到等),则应该启用 session.use_only_cookies。此情形下,客户端必须无条件启用 cookie,否则会话就不工作。
有几种途径会将现有的会话 ID 泄露给第三方。泄露出的会话 ID 使第三方能够访问所有与指定 ID 相关联的资源。之一,URL 携带会话 ID。如果连接到外部站点,包含有会话 ID 的 URL 可能会被存在外部站点的 Referer 日志中。第二,较主动的攻击者可能会侦听网段的数据包。如果未加密,会话 ID 会以明文方式在 *** 中流过。对此的解决方式是在服务器上实施 SSL 并强制用户使用。
默认情况下,所有与特定会话相关的数据都被存储在由 INI 选项 session.save_path 指定的目录下的一个文件中。对每个会话会建立一个文件(不论是否有数据与该会话相关)。这是由于每打开一个会话即建立一个文件,不论是否有数据写入到该文件中。注意由于和文件系统协同工作的限制,此行为有个副作用,有可能造成用户定制的会话处理器(例如用数据库)丢失了未存储数据的会话。上面介绍函数下文将会用到,但还有一些有关session的函数也介绍一下:
session_encode
函数功能:sesssion信息编码
函数原型:string session_encode(void);
返回值:字符串
功能说明:返回的字符串中包含全局变量中各变量的名称与值,形式如:a|s:12:"it is a test\";c|s:4:"lala"; a是变量名 s:12代表变量a的值"it is a test的长度是12 变量间用分号”;”分隔。
session_decode
函数功能:sesssion信息解码
函数原型:boolean session_decode (string data)
返回值:布尔值
功能说明:这个函数可将session信息解码,成功则返回逻辑值true
Php5 不再使用session_id,而是把它变成一个常量SID,并保存在cookie中。如果客户端禁用了cookie,php会自动通过url自动传动传递SID,其条件是设置php.ini中的session.use_trans_sid = 1。此时即使客户端即使禁用了cookie也没关系了。
用 strip_tags() 来输出 SID 以避免 XSS 相关的攻击。
Session跨页传递问题:
session跨页传递需要考虑三种情况:
①客户端禁用了cookie。
②浏览器出现问题,暂时无法存取cookie
③php.ini中的session.use_trans_sid = 0或者编译时没有打开--enable-trans-sid选项 为什么会这样呢?
下面解释一下原因:
Session文件分为两部分:session变量保存在服务器端(默认以文件方式存储session);而session id则以cookie形式保存在客户端。(注意:session默认是基于cookie的)。
当用户的浏览器向服务器提出请求时,同时发送包含session id的cookie(默认情况下)。服务器根据客户端提供的session id来得到用户的文件,即保存在服务器端的session变量值。事实上,session id可以使用客户端的Cookie或者Http1.1协议的Query_String(就是访问的URL的“?”后面的部分)来传送给服务器,然后服务器读取Session的目录……。
也就是说,session id是取得存储在服务上的session变量的身份证。当代码session_start();运行的时候,就在服务器上产生了一个session文件,随之也产生了与之唯一对应的一个session id,定义session变量以一定形式存储在刚才产生的session文件中。通过session id,可以取出定义的变量。跨页后,为了使用session,你必须又执行session_start();将又会产生一个session文件,与之对应产生相应的session id,用这个session id是取不出前面提到的之一个session文件中的变量的,因为这个session id不是打开它的“钥匙”。如果在session_start();之前加代码session_id($session id);将不产生新的session文件,直接读取与这个id对应的session文件。
PHP中的session在默认情况下是使用客户端的Cookie来保存session id的,所以当客户端的cookie出现问题的时候就会影响session了。
必须注意的是:session不一定必须依赖cookie,这也是session相比cookie的高明之处。当客户端的Cookie被禁用或出现问题时,PHP会自动把session id附着在URL中,这样再通过session id就能跨页使用session变量了。但这种附着也是有一定条件的,
其一:“php.ini中的 session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”;其二:运行PHP的服务器必须是unix/linux系统,windows不具备此项功能。 明白了以上的道理,我们就可以得出解决session跨页传递问题的三条途径:
1、设置php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项,让PHP自动跨页传递session id。
2、手动通过URL传值、隐藏表单传递session id。
3、用文件、数据库等形式保存session_id,在跨页过程中手动调用。
下面举例说明:
之一种情况:
page1.php
<?php
session_start();
$_SESSION['var1']="中华人民共和国";
$url="<a href="."\"s2.php\">下一页</a>"; echo $url;
?>
page2.php
<?php
session_start();
echo "传递的session变量var1的值为:".$_SESSION['var1'];
?>
运行以上代码,在客户端cookie正常的情况下,应该可以在得到结果“中华人民共和国”。
现在你手动关闭客户端的cookie,再运行,可能得不到结果了吧。如果得不到结果,再“设置php.ini中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”,又得到结果“中华人民共和国”
第二种途径:
s1.php
<?php
session_start();
$_SESSION['var1']="中华人民共和国";
$sn = session_id();
$url="<a href="."\"s2.php?s=".$sn."\">下一页</a>";
//PHP5定义了一个常量SID来表示session_id(),$url还可以写成$url='<a href="page2.php?' . SID . '">下一页</a>'; echo $url;
?>
s2.php
<?php
session_id($_GET['s']);
session_start();
echo "传递的session变量var1的值为:".$_SESSION['var1'];
?>
第三种途径:
login.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Login</title>
<meta http-equiv="Content-Type" content="text/html; charset=??????">
</head>
<body> 请登录:
<form name="login" method="post" action="mylogin1.php">
用户名:<input type="text" name="name">
<br>
口 令:
<input type="password" name="pass">
<br>
<input type="submit" value="登录">
</form>
</body>
</html>
mylogin1.php
<?php
$name=$_POST['name'];
$pass=$_POST['pass'];
if(!$name || !$pass)
{ echo "用户名或密码为空,请<a href=\"login.html\">重新登录</a>";
die();
}
if(!($name=="laogong" $pass=="123"))
//注册用户
ob_start();
session_start();
$_SESSION['user']= $name;
$psid=session_id(); $fp=fopen("e:\\tmp\\phpsid.txt","w+");
fwrite($fp,$psid);
fclose($fp); //身份验证成功,进行相关操作
echo "已登录<br>";
echo "<a href=\"mylogin2.php\">下一页</a>";
?>
mylogin2.php
<?php
$fp=fopen("e:\\tmp\\phpsid.txt","r");
$sid=fread($fp,1024); fclose($fp);
session_id($sid);
session_start();
if(isset($_SESSION['user']) $_SESSION['user']="laogong" )
{
echo "已登录!"; } else { //成功登录进行相关操作 echo "未登录,无权访问";
echo "请<a href=\"login.html\">登录</a>后浏览";
die();
}
?>
什么是XSS攻击
XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击。
之一种:反射型XSS攻击
反射型XSS攻击一般是攻击者通过特定手法,诱使用户去访问一个包含恶意代码的URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。此类XSS攻击通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端Cookies或进行钓鱼欺骗。
第二种:DOM-based型XSS攻击
客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的JavaScript脚本,而这些脚本没有经过适当的过滤或者消毒,那么应用程序就可能受到DOM-based型XSS攻击。需要特别注意以下的用户输入源document.URL、location.hash、location.search、document.referrer 等。
第三种:存储型XSS攻击
攻击者事先将恶意代码上传或者储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此存储型XSS攻击的危害会更大。此类攻击一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。
请问destoon b2b 网站地图在后台什么地方生成啊?
生成HTML、URLRewrite、标签缓存、SQL缓存、页面缓存、远程附件、计划任务、数据库备份恢复、VIP会员、企业主页、二级域名、主页模板、在线充值、资金提现、产品交易、站内信、询盘、报价、关键字排名、商机收藏、邮件订阅、邮件群发、 *** 中心、会员整合、广告管理、友情链接、单网页、RSS订阅...
核心(Deston)
支持无限级栏目分类
支持无限级地区分类
支持模块/插件在线安装/卸载
支持标签/SQL/PHP缓存
支持自定义URL及生成HTML页面
支持URL地址Rewrite
支持数据库在线备份、恢复、修复、优化、字符替换
支持在线模板/风格 添加、修改、删除
支持数据标签调用向导, *** 调用
支持后台操作日志记录
支持后台自定义操作面板
支持数据库保存会话Session
支持线修改注册、登录、发布信息地址功能
支持图形验证码、验证问题
支持一键更新全站(系统设置、地址规则和生成html等)
支持分类批量添加与删除,支持分类按模型复制
支持地区批量添加与删除
支持自定义SEO标题内容及格式
支持后台自定义首页细节(显示的模块、信息数量等)
支持搜索关键词自动记录功能
支持智能搜索提示
支持信息联系方式生成图片,防止采集和复制
支持按关键词、模型、地区、行业等RSS订阅信息
会员(member)
支持 *** 中心、站内信、商友管理、商机收藏、商机订阅、邮件发送
支持邮件群发、邮件列表、站内信群发、数据CSV导出
支持发布/管理指定模型(供应/求购/产品/展会/信息/文章/新闻)信息
支持整合Ucneter、Discuz!、PHPwind
支持邮件验证或人工审核注册、支持会员密码邮件找回
支持自定义会员组及收费
支持VIP会员在线申请
支持网银在线、支付宝、财付通、贝宝在线充值。
支持站内支付、发起担保交易、资金提现。所有流水均自动记录。
支持管理员查看和删除站内信功能支持自动转发会员站内信功能。
支持会员信息一键刷新功能。
支持会员信息复制发布功能。
支持会员登录日志
支持IP封锁
支持关键词过滤功能
支持管理员直接登录会员后台,协助会员完善或发布信息
支持未注册会员发布信息
支持充值卡充值功能。
可针对扣费模式会员组设置发布信息、查看信息收费。
可针对单条信息设置不收费或费用。
会员组权限分配更加精准,可自由设置有无权限及数量限制。
扩展(extend)
支持竞价排名,可在线出价、购买关键词
支持公告管理,可自定义分类、添加/修改/删除公告
支持单网页管理,可自定义生成路径、文件名
支持评论管理,可按模块开启评论,可针对单信息关闭评论
支持投票调查,可插入投票至文章模型
支持访客留言,支持访客留言,并回复显示
支持友情链接,可自定义分类、在线申请
支持广告管理,内置代码广告、文字广告、图片广告、Flash广告、关键字排名广告
公司(company)
支持绑定二级域名、生成HTML
支持公司搜索、公司列表
支持分配二级域名、绑定顶级域名
支持公司主页
支持公司新闻、荣誉资质、留言板、友情链接
支持VIP计算规则,自动更新VIP指数
公司主页完全独立,会员发布供求等信息全部在主页显示
提供5套默认精美公司主页模板
支持会员自主选择模板,后台可控制权限
支持管理员分配会员绑定顶级域名、设置备案号码、设置Flash横幅
支持会员自定义主页导航
支持会员自定义首页内容
支持会员自定义侧栏内容
支持会员上传LOGO和横幅图片
支持会员自定义CSS、背景颜色、背景图片
支持会员标注公司地图
支持会员发布网站公告
支持会员张贴或上传视频
支持控制公司采购信息、联系方式权限
支持会员自定义网站SEO信息
支持会员定义主页友情链接
重写URL规则、目录格式显示导航内容,更利于公司主页的推广和SEO优化
泛解析支持绑定至网站根目录和company目录两种格式
供应(sell)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除供应信息
支持管理员添加/修改/删除/审核/拒绝/刷新过期 供应信息
支持供应信息相册
支持供应信息在线订购、询盘、比较
支持供应信息智能模糊搜索
支持供应信息RSS订阅
求购(buy)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除求购信息
支持管理员添加/修改/删除/审核/拒绝/刷新过期 求购信息
支持求购信息相册
支持求购信息在线报价
支持求购信息联系方式指定会员组查看
支持求购信息智能模糊搜索
支持求购信息RSS订阅
产品(product)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除产品信息
支持管理员添加/修改/删除/审核/拒绝 产品信息
支持产品信息相册
支持产品信息在线订购、询盘、比较
支持产品信息智能模糊搜索
支持产品信息RSS订阅
展会(exhibit)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除展会信息
支持管理员添加/修改/删除/审核/拒绝/刷新过期 展会信息
支持展会信息智能模糊搜索
支持展会信息RSS订阅
文章(article)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除文章
支持管理员添加/修改/删除/审核/拒绝文章
支持文章内容关键词链接
支持文章智能模糊搜索
支持文章RSS订阅
信息(info)
支持绑定二级域名、生成HTML
支持会员添加/修改/删除信息
支持管理员添加/修改/删除/审核/拒绝信息
支持自定义信息联系方式
支持信息智能模糊搜索
支持信息RSS订阅
手机(wap)
采用Wap2.0最新标准实现,可实现权限控制和收费
支持自定义页面字符集、页面长度、列表数量
支持供应/求购/产品/展会/文章/信息模型信息列表、查看、搜索
支持会员登陆、退出、收发站内信
编辑本段创新功能
1、官方服务 用户在自己网站管理后台即可访问官方资源、检查更新以及提交技术支持
2、系统开放 模型式开发,可自由安装/卸载模型与插件、可自由修改模板与风格
3、人性化后台设计 任何操作均可在3次点击内完成,无须任何专业知识即可很快上手
4、人性化前台设计 语音验证码、密码键盘、智能模糊搜索、键盘翻页、Dialog窗体设计
5、系统"节能设计" 上传文件不会因为关闭页面,取消操作而滞留服务器,形成大量无用文件
6、系统安全 过滤XSS代码、防止SQL注入、禁止外部提交、上传文件验证、加密传输密码
7、计划任务功能 生成HTML文件、系统缓存全部自动更新,无须手工操作
8、内容自动处理 可下载自动下载远程图片,清除链接...省时又省力
9、智能缩略图功能 无论怎么缩,都不会变形
10、自动分配二级域名 自动为会员分配二级域名,更可以绑定顶级域名
11、数据库保存会话Session 避免session文件过多弊端
12、支持文本保存数据 解决数据库容量超出限制瓶颈
13、模型一键更新 只需一次点击即可完成模型内所有页面生成及信息更新
14、URL Rewrite 只需简单操作,即可实现地址静态化,利于搜索优化
15、SEO优化 采用XHTML+CSS设计,任何页面均可自定义标题、关键词、描述及URL
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
