终于完成手头的项目了,可以松了口气.对于一个爱好网络脚本安全的人(请允许我这么说),还是很重视自己写程序的安全性,从sql injection, xss,csrf,都做了过滤,甚至参照discuz,做了表单的formhash,防止本地提交等非法提交.当然,对于安全知识薄弱的我,是不能做的很安全,很完美的,还是需要充电… 下午,特意拜访了牛人的blog剑心,SuperHei 等前辈的blog,找了一些文章阅读,充电…其中,看到剑心前辈的PPT,关于xss, csrf攻击的,谈到了cookie域的问题,也谈到了xss攻击导致雅虎股价下跌的事件.
为什么会出现这样的事情呢?

Continue reading