web-security 标签归档

共 4 篇文章 · 返回首页

XSS 攻防实践

2025-10-30 | security | #security #xss #web-security #penetration-testing #owasp

本以为 Web 技术发展那么久，XSS、SQL注入、CSRF 这类过去常见的漏洞已经被处理得很好了。最近工作发现并不是这样的，可能就是因为框架和工具把这些事情做得很好了，大家都忘记了这些漏洞的存在，及时使用了框架也没有把它们提供的漏洞预防功能使用起来。我觉得即使是今天，了解常见的安全漏洞类型也是必要的。

JWT 简介、陷阱及建议

2025-10-30 | authentication | #jwt #authentication #web-security #oauth #token

JSON Web Token (JWT, 发音为 "jot") 是一个附带签名的字符串，常常作为服务调用的令牌。作为令牌时，由于 JWT 可以附带 Session 信息，可以简化服务逻辑，在微服务结构盛行的今天应用广泛。互联网上单点登录和身份管理的通用标准 OpenID Connect 也使用 JWT 作为身份令牌…

以实例说明 OAuth2

2025-10-30 | authentication | #oauth2 #authentication #authorization #sso #web-security

OAuth2 是互联网中广泛使用的授权标准，常用于实现单点登录、第三方授权。虽然当前有更完善的流程，但国内主要还是使用OAuth标准。国内一些服务商的OAuth是自己修改过的，没有依照标准文档实现，经常发生标准库没办法完成授权的情况，不知意欲何为，使用时还是需要依照服务商的开发文档。

PKCE - OAuth2 的安全措施

2025-10-30 | authentication | #pkce #oauth2 #security #authentication #web-security

OAuth2 是现代 Web 应用的通用登录标准，使用 OAuth2 可以将用户系统从业务系统中抽离出来，实现单点登录(SSO)。如果你还不熟悉的话，建议你去看看：