避免跨目錄攻擊的最簡單方式就是選擇一種恰當的存儲方法。避免在如上情況下使用DOM存儲,因為在跨目錄攻擊下,我們無法保證DOM存儲對象的安全。對於使用cookie的應用程式,應該將它們隔離到單獨的目錄中,並且必須能夠控制該目錄下所有子目錄的訪問許可權。然後,使用cookie的Path屬性限制只能訪問這些目錄。而是否選擇Flash LSO則需要靈活對待,因為只有將該LSO與其他Flash對象共享,並且將該LSO保存到與Web根目錄相鄰的目錄下時,才有可能受到攻擊。假設在同一主機上有兩個Flash對象分別位於/Internal/Tools/IssueTracker.swf和/Internal/Tools/HR/TimeSheets/Reporter.swf下,並且二者之間共享數據。同域名一樣,開發人員應該儘可能指定最具體的目錄名,來限制對共享數據的訪問。在本例中,Flash對象應該在使用getLocal()創建LSO對象時指定目錄名為/Internal/Tooles/,因為這是兩個Flash對象共有的、最具體的目錄名。同我們為了防範跨域攻擊,而將不同域中的程式隔離到一個單獨域中一樣,開發人員也可以將共享LSO的Flash對象隔離到單獨的目錄中。在我們的例子中,IssueTracker.swf和Report.swf應該被移到一個單獨目錄中,例如/Internal/Tools/HR-Special/。此外,該目錄路徑還應該傳遞給Flash的getLocal()方法,以便兩者之間能夠共享LSO。
相關詞條
-
跨站攻擊
跨站攻擊,即Cross Site Script Execution(通常簡寫為XSS)是指攻擊者利用網站程式對用戶輸入過濾不足,輸入可以顯示在頁面上對其...
基本概括 比較 區別 如何防範 -
XSS跨站腳本攻擊剖析與防禦
《XSS跨站腳本攻擊剖析與防禦》是2013年出版的圖書,作者是邱永華。
內容介紹 作者介紹 作品目錄 -
網路攻擊與防禦技術
書名:網路攻擊與防禦技術封面. 欺騙攻擊與防禦技術 拒絕服務攻擊與防禦技術
基本信息 內容簡介 目錄 -
黑客WEB腳本攻擊與防禦技術核心剖析
2.1.3反對cookies 5.2.1Cookies 2.4.1DDoS攻擊發起者
內容提要 出版信息 圖書目錄 -
普通高等學校信息安全十一五規劃教材·網路與系統攻擊技術
ASP腳本攻擊 P2P攻擊 P2P攻擊防範
圖書信息 內容簡介 目錄 -
防禦!網路攻擊內幕剖析
Web伺服器漏洞 Web伺服器攻擊剖析 資料庫漏洞攻擊剖析
圖書信息 內容簡介 目錄 -
跨網站指令碼
script
目錄 背景 縮寫 測試方法 實例 -
降維攻擊[圖書書名]
小米創始人雷軍、獵豹移動CEO傅盛等企業家都推崇的新商業思維。 未來10年的商業新玩法! 引領未來商業的30條降維實戰法則! 阿里巴巴、騰訊一直在用降維...
內容簡介······ 作者簡介······ 目錄······ -
跨界[2016年電子工業出版社書籍]
《跨界:打通線上線下,構建商業閉環》從提升企業盈利能力的角度出發,系統地闡述了移動網際網路時代下企業盈利變現的創新邏輯。
主要內容 出版背景 作品目錄