在網站建設過程中，數據與代碼的分離是安全措施中很重要的規(guī)劃，不僅是后續(xù)的維護方便，另一個重要的安全原則是數據與代碼分離原則,雖然前面我通過《網站安全縱深防御原則的實施方法》也介紹了不少原則性的防范措施，但南昌網站設計公司百恒網絡安全工程師認為數據與代碼分離這一原則廣泛適用于各種由于“注入”而引發(fā)安全問題的場景。?
? ? ? ?實際上，緩沖區(qū)溢出，也可以認為是程序違背了這一原則的后果——程序在?；蛘叨阎?，將用戶數據當做代碼執(zhí)行，混淆了代碼與數據的邊界，從而導致安全問題的發(fā)生。?
? ? ? ?在 Web 安全中，由“注入”引起的問題比比皆是，如 XSS、SQL Injection、CRLF Injection、 X-Path Injection 等。此類問題均可以根據“數據與代碼分離原則”設計出真正安全的解決方案，因為這個原則抓住了漏洞形成的本質原因。?
? ? ? ?以 XSS 為例，它產生的原因是 HTML Injection 或 JavaScript Injection，如果一個頁面的代碼如下：?
? ? ? ??
? ? ? ? ? ? ? test
? ? ? ? ? ? ? ? $var
? ? ? ? ?
? ? ? ?其中 $var 是用戶能夠控制的變量，那么對于這段代碼來說：?
? ? ? ??
? ? ? ? ? ? ?test?
? ? ? ? ? ? ??
? ? ? ? ? ? ?
? ? ? ?
? ? ? 就是程序的代碼執(zhí)行段。?
? ? ? ?而?
? ? ? ?$var
? ? ? ? 就是程序的用戶數據片段。?
? ? ? ?如果把用戶數據片段 $var 當成代碼片段來解釋、執(zhí)行，就會引發(fā)安全問題。?
? ? ? ?比如，當$var 的值是：?
? ? ? ??
? ? ? ?時，用戶數據就被注入到代碼片段中。解析這段腳本并執(zhí)行的過程，是由瀏覽器來完成的—— 瀏覽器將用戶數據里的在這種情況下，

400-680-9298,0791-88117053

歡迎您的光顧，我們將竭誠為您服務×

售前咨詢

售后服務

備案專線

武胜县| 陇川县| 革吉县| 阳谷县| 武定县| 东阿县| 荥经县| 兴山县| 绥棱县| 苗栗市| 湛江市| 鹿泉市| 福安市| 龙井市| 北海市| 从化市| 孟津县| 凌源市| 辉县市| 惠安县| 章丘市| 保定市| 鹤山市| 白河县| 武城县| 亚东县| 房山区| 长春市| 伊春市| 绩溪县| 永福县| 津南区| 东港市| 巴楚县| 安乡县| 开原市| 余庆县| 崇阳县| 建水县| 贵德县| 台中市|

網站建設中數據與代碼分離原則實施辦法

歡迎您的光顧，我們將竭誠為您服務×

歡迎您的光顧，我們將竭誠為您服務×