V2EX leonwong 的所有回复第 1 页 / 共 4 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4

2014-01-02 16:15:40 +08:00

回复了 mr7 创建的主题程序员 2013年我们读过的好书（更新中）

《1984》

2014-01-02 16:12:11 +08:00

回复了 magicshui 创建的主题程序员学习做一个游戏需要储备哪些技术？

会玩游戏

2013-08-26 19:41:12 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@msg7086 https搭建复杂度可能对我而言比较高，而且如果参考孔明社交平台后台管理的话，也是可以不用https的，你说的我会好好斟酌，谢谢

2013-08-26 19:37:16 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@undeadking 是我太依赖js了，的确是舍近求远，我现在采取的措施是，jsp和纯静态混合使用，jsp效率高的就用jsp，html适合的就用html，不坚持用js配合html死做下去

2013-08-26 12:01:23 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@darcy 恩恩。我明白了很多了，具体细节交给我自己捉摸吧，谢谢

2013-08-26 11:18:11 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@darcy 用了好几年也就证明这个模式可行对吧？我的确感觉出这种方式所遇到的安全问题，动态页也是面临的，所以我才会去尝试

2013-08-26 10:54:59 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@msg7086 感谢给出一个非常具体的实施方法，你的描述过程非常符合我的口味啊，我也大概知道纯静态的token该怎么实现了，我还想知道，如何防止因为暴露URL带来的隐患和恶性攻击？因为ajax中会暴露我后台程序的URL信息

2013-08-26 10:47:48 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@PrideChung 的确，我同意你这个看法，但是性能上暂时还在我的可接受范围内，但是可能后来复杂度一增加可能就不如意了，安全隐患其实连我自己都觉得这样很不靠谱，但是我之所以提出此类问题就是想知道不靠谱的地方在哪，一一例举出来，这样才可以找到靠谱的方式去解决，就好像玩网络攻防实验课一样，我觉得这样是一个不错的学习过程，谢谢你能参与进来讨论

2013-08-26 10:43:37 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@Frannk
谢谢你对这种模式的支持，我的安全需求是：
1、要求用户资料相互隔离，不能被爬虫爬到关键隐私信息；
2、能防止CSRF攻击。
如果用https的话，可能成本有点高。大概和微信公众平台管理页面，或者孔明社交管理平台差不多，我也参考过他们的源码，说实话才疏学浅看不明白，也可能是我仅学了jsp，其他平台语言尚未接触，所以看不懂。
另外，您说的第3点和第4点如何实现？（平台是jsp+tomcat服务器）

2013-08-26 10:25:29 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@undeadking 我没有说一定要坚持啦，只是动态页面如果实现的话也是会暴露action提交的url信息，这样其实和纯静态页面配合js来说没什么太大区别，其实最关键的是我还想知道除了token还有没有别的防止因为暴露url而遭受攻击的办法？静态页动态化只是我的尝试，如果论证各方面都不足的话，我是不会坚持的

2013-08-26 10:17:57 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@darcy 通常token应该都是存在session里，存入cookie会不会有不妥？

2013-08-26 10:16:07 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@aaronzheng 这也是我应该考虑的一点，网站安全至少要保证不被爬虫爬到，因为里边是用户的个人信息，有隐私安全的存在，如果不希望被爬虫拖走，您有什么好建议？

2013-08-26 00:11:55 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@aaronzheng 获取参数,比如用户id,可以通过ajax的回调方法给页面某个元素赋值,但是有点多此一举的感觉,因为动态页就轻易实现了,但是静态就是这么大费周章.

2013-08-26 00:10:06 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@zzNucker 3楼貌似用了express框架来实现前端请求验证,最根本还是ajax,我猜想如果运用成熟的js框架,纯静态其实也不是不行,但是这个观点有待考证.

的确坚持纯静态有点困难,也不适合我这个初学者.

我开始有点理解你说的CSRF token难以实现的问题了,因为貌似js文件是不是可以轻易被构造然后也可以轻易更改其提交参数?问题就在于此,token如果能轻易被构造那么验证就无从谈起,你的意思是这样吧?

2013-08-26 00:02:46 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@kfll express框架我从来没接触过,不过这确实是一个新的解决思路,我可以看看学习一下express

2013-08-25 21:11:56 +08:00

回复了 leonwong 创建的主题程序员网站安全性探讨（纯静态页的动态化尝试）

@zzNucker
@PrideChung

2013-08-25 15:20:24 +08:00

回复了 leonwong 创建的主题程序员我想知道token和sessionid的区别是什么

@zzNucker
@PrideChung
token原理我已经理解了，谢谢，也谢谢楼上回答问题的各位，怪我不好，因为这两天没得用电脑，手机打字不方便，所以很多情况没说明白，等我可以用电脑的时候，我再发一帖，我会系统说明我使用的架构和平台，目的是讨论一下网站安全问题，我也会参考资料，谢谢你们的耐心解答

2013-08-25 13:48:28 +08:00

回复了 leonwong 创建的主题程序员我想知道token和sessionid的区别是什么

@PrideChung 那如果按照这个说法，我觉得如果cookie没被窃取的话，html配合ajax实现数据请求的安全性还算比较高啊

2013-08-25 13:45:56 +08:00

回复了 leonwong 创建的主题程序员我想知道token和sessionid的区别是什么

@cxh116 我还没得用电脑现在，等用电脑，立马拜读帖子

2013-08-25 13:43:51 +08:00

回复了 leonwong 创建的主题程序员我想知道token和sessionid的区别是什么

@zzNucker
我是这样的，我将用户的id存在session中，每次请求利用sessionid保持session，也就是说，每次请求都能够确保是该用户发送的请求，因为session里有用户id，然后就返回对应用户json进行数据处理。我已经实现了功能，可是困惑就是不知道这种方式合理不合理?我本来也觉得纯静态实现很不可思议，但是的确也能满足业务功能，那么我想ajax也可以把hidden值提交给服务器，想来想去也没什么不妥。

@undeadking 我的业务功能已经实现了，所以我要多考虑架构和安全，我也觉得我很欠考虑，但是纯静态页面配合js实现了我想要的，token验证我想也可以通过ajax，可能性能上会有劣势，但是功能上跟动态区别不大，就当我在静态页面上的学习和探索，所以可能我会钻牛角尖。

1 2 3 4