caoporm97国产在线视频|欧美性XXXXX精品|一本一道久久a久久精品综合开|精品久久久久久久久久久AⅤ|

十年專注于品牌網站建設 十余年專注于網站建設_小程序開發(fā)_APP開發(fā),低調、敢創(chuàng)新、有情懷!
南昌百恒網絡微信公眾號 掃一掃關注
小程序
tel-icon全國服務熱線:400-680-9298,0791-88117053
掃一掃關注百恒網絡微信公眾號
掃一掃打開百恒網絡微信小程序

百恒網絡

南昌百恒網絡

網站建設中數(shù)據與代碼分離原則實施辦法

百恒網絡 2016-11-29 4940

在網站建設過程中,數(shù)據與代碼的分離是安全措施中很重要的規(guī)劃,不僅是后續(xù)的維護方便,另一個重要的安全原則是數(shù)據與代碼分離原則,雖然前面我通過《網站安全縱深防御原則的實施方法》也介紹了不少原則性的防范措施,但南昌網站設計公司百恒網絡安全工程師認為數(shù)據與代碼分離這一原則廣泛適用于各種由于“注入”而 引發(fā)安全問題的場景。?
? ? ? ?實際上,緩沖區(qū)溢出,也可以認為是程序違背了這一原則的后果——程序在?;蛘叨阎?, 將用戶數(shù)據當做代碼執(zhí)行,混淆了代碼與數(shù)據的邊界,從而導致安全問題的發(fā)生。?
? ? ? ?在 Web 安全中,由“注入”引起的問題比比皆是,如 XSS、SQL Injection、CRLF Injection、 X-Path Injection 等。此類問題均可以根據“數(shù)據與代碼分離原則”設計出真正安全的解決方案, 因為這個原則抓住了漏洞形成的本質原因。?
? ? ? ?以 XSS 為例,它產生的原因是 HTML Injection 或 JavaScript Injection,如果一個頁面的代 碼如下:?
? ? ? ??
? ? ? ? ? ? ? test
? ? ? ? ? ? ? ? $var
? ? ? ? ?
? ? ? ?其中 $var 是用戶能夠控制的變量,那么對于這段代碼來說:?
? ? ? ??
? ? ? ? ? ? ?test?
? ? ? ? ? ? ??
? ? ? ? ? ? ?
? ? ? ?
? ? ? 就是程序的代碼執(zhí)行段。?
? ? ? ?而?
? ? ? ?$var
? ? ? ? 就是程序的用戶數(shù)據片段。?
? ? ? ?如果把用戶數(shù)據片段 $var 當成代碼片段來解釋、執(zhí)行,就會引發(fā)安全問題。?
? ? ? ?比如,當$var 的值是:?
? ? ? ??
? ? ? ?時,用戶數(shù)據就被注入到代碼片段中。解析這段腳本并執(zhí)行的過程,是由瀏覽器來完成的—— 瀏覽器將用戶數(shù)據里的 在這種情況下,

400-680-9298,0791-88117053
掃一掃關注百恒網絡微信公眾號
掃一掃打開百恒網絡小程序

歡迎您的光顧,我們將竭誠為您服務×