换句话说,身份验证是知道实体是谁,而授权是给定实体可以做什么.考虑到这一点,就探讨 10 种常见的互联网漏洞问题....)在身份验证中断期间可能出现的问题不一定来自同一种原因.有无数可能的陷阱,如:URL可能包含会话ID,并在referer头中泄漏密码可能在存储或传输过程中未加密会话ID可能是可扫描出来的,这使得获得未经授权的访问变的太容易了使用...HTTP(没有使用SSL)等,则可能发生会话劫持预防使用成熟的框架编写代码.如果您编写自己的代码,请要非常谨慎的编写任何一行代码.并就可能出现的潜在问题进行反省.跨站点脚本攻击 (XSS)攻击者将输入js...标记的代码发送到网站.当此输入在未经处理的情况下返回给用户时,用户的浏览器将执行它.这是一个相当普遍的过滤失败,(本质上是注射缺陷).例如:在页面加载时,脚本将运行并用于某些权限的cookie发送给攻击者...,而是B的A转账100元.预防将机密令牌存储在第三方站点无法访问的隐藏表单字段中使用具有已知漏洞的程序或插件标题说明了一切预防不要一味的复制粘贴代码或使用某些代码.先认真看好代码,判断是否安全.经常更新并使用最新的版本未经验证的重定向和转发这是另一个输入过滤问题