阻止用户访问Git目录

一些网站的代码发布直接使用git更新,此时.git目录暴露于外网,存在代码相关信息泄漏的危害,此时可经由web服务器的配置,来阻止对.git目录的造访。

例如Nginx可以在相应server里面添加如下代码片段实现。

location ~ /\.git {
deny all;
}

XSS和CSRF举例

XSS 跨站脚本攻击 Cross-Site Scripting

比如微博昵称存在XSS漏洞,你把昵称修改为

Jack<script>followme()</script>

别人访问你的微博主页是weibo.com/Jack后,上面的脚本自动执行,自动成为你的粉丝。

 

CSRF 跨站请求伪造 Cross-site request forgery

比如某网站的转账操作是 xxx.com/transfer?张三&to=李四?moeny=100

张三登录了此网站没有退出,这时登录李四的网站后自动跳转到 xxx.com/transfer?张三&to=李四?moeny=200 李四多转走了100