Re: [問題] 網頁安全性問題
※ 引述《forkome (初心者)》之銘言:
: 不知安全性問題適不適合PO在這討論
: 但以下這些問題都與網頁相關
: 小弟所維護的資料比較具保密性
: 加上網頁製作年資尚淺,遇到些問題沒有判斷能力
: 所以想跟大家請教一下觀念性問題
: 1.圖型驗証碼的功能,每頁都加好嗎?
: 現在網頁註冊頁面都有做圖型驗証
: 據小弟所了解這樣做,可以防止有心人士寫程式存取網頁上的資源
: 因為老板要求我只要有輸入畫面就要加上圖型驗証碼,增加安全性
: 聽起來蠻有道理的,但目前只想到可能會讓使用者多輸入一樣東西造成不便
: 例如,我今天只是做一個資料查詢功能,加上圖型驗証碼適合嗎?
: 2.AJAX的使用安全性
: 目前小弟所知道JSONP可以做跨網域執行動作
: 故若Ajax的動作裡有Insert的動作,從JavaScript可能會被人解讀出來
: 造成對方可以不透過網頁功能達成Insert
: 若我使用一般的Ajax的方式是否就沒有安全性上的問題?
: 自己是有試過以下語句是行不通,但不知是否有可能透過自製的瀏覽器避開?
: $.post("http://xxx.xx.xx/test.php",{func:"getNameAndTime"},
: 3.網頁HTML註解會造成安全性?
: 公司有使用一套可以偵測網站是否有漏洞的軟體
: 結果偵測出警告「網頁裡有註解」
: 故之後的決策就是網頁裡不能有註解
: 我想到的只有可能註解會造成原始碼被人解讀出程式寫法
: 但想不出來有任何的直接攻擊或影響行為??
: 以上,不知有沒有人可以幫小弟解惑,先謝了
非重要的輸入欄位
就hidden value = token 加session=token
綁個時效性,簡單防止外網及大量輸入
對於user 來說,信任群及不信任群,已經編輯的內容來分辯是否加圖型碼
JSONP,通常為非安全性內容才會使用吧?
或是綁定大量加密金鑰
之後拿去解什麼鎖就看個人需求了
註解安全性就如樓上...
<!-- 臭三八別再改流程好不 -->
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.249.157.63
→
11/20 10:20, , 1F
11/20 10:20, 1F
→
11/20 13:26, , 2F
11/20 13:26, 2F
討論串 (同標題文章)