JSONRequest

CSRF(跨站请求伪造攻击)漏洞详细说明

感情迁移 提交于 2020-08-14 13:45:38
Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。 二 CSRF的分类 在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面发送到任何地址的请求,因此也就意味着当用户在浏览他/她无法控制的资源时,攻击者可以控制页面的内容来控制浏览器发送它精心构造的请求。 1、网络连接。例如,如果攻击者无法直接访问防火墙内的资源,他可以利用防火墙内用户的浏览器间接的对他所想访问的资源发送网络请求。甚至还有这样一种情况,攻击者为了绕过基于IP地址的验证策略,利用受害者的IP地址来发起他想发起的请求。 2、获知浏览器的状态。当浏览器发送请求时,通常情况下,网络协议里包含了浏览器的状态。这其中包括很多,比如cookie,客户端证书或基于身份验证的header。因此,当攻击者借助浏览器向需要上述这些cookie

修改源码,使volley框架下支持发送和读取cookie

自作多情 提交于 2019-12-04 05:46:42
本文为原创,转载请注明出处,否则将依法追究版权 修改源码,让不支持cookie发送的volley框架支持cookie 我们平时开发android应用都需要用到网络技术,通常采用http协议来发起请求并接受网络数据。android系统提供两种方式进行http通信:HttpURLConnection和HttpClient。不过这两种方式稍复杂,如果不适当封装会导致许多重复代码。因此android网络通信框架应运而生,如AsynHttpClient(把Http所有的通信细节全封装在内,只需几行代码就可以完成通信),Universal_Image_loader(使界面上显示网络图片的操作变得极其简单,开发者不用关心如何从网络上获取图片,也不用关心开启线程,回收图片资源等细节,它已把一切都做好)。Google I/O大会上退出了新的 网络通信架构volley ,volley集HttpClient和HttpURLConnection优点于一身,Volley非常适合数据量不大,通信频繁的网络操作,但对于大数据量的网络操作比如下载文件,Volley表现糟糕。 volley学习资料: Android 网络通信框架Volley简介(Google IO 2013) Android Volley完全解析(一),初识Volley的基本用法 Android Volley完全解析(二)