LNMP下防跨站、跨目录的安全设置,仅支持PHP5.3.3以上版本

如果你是PHP 5.3.3以上的版本,可以修改/usr/local/php/etc/php.ini在末尾里加入:

[HOST=www.jb51.net]
open_basedir=/home/wwwroot/www.jb51.net/:/tmp/
[PATH=/home/wwwroot/www.jb51.net]
open_basedir=/home/wwwroot/www.jb51.net/:/tmp/

按上面的这个例子修改,换成你自己的域名和目录,多个网站就按上面的例子改成多个,最后重启php-fpm:/etc/init.d/php-fpm restart

如果让网站可以使用探针需要在/tmp/后加上:/proc/

PHP 5.3.3以上版本的用户,可以执行:cd /root;rm -f /root/vhost.sh;wget http://down.jb51.net/lnmp/ext/vhost.sh;chmod +x /root/vhost.sh,这样替换原来的vhost.sh文件,以后添加网站就会自动添加HOST防跨站、跨目录的配置。

(0)

相关推荐

  • LNMP下防跨站、跨目录的安全设置,仅支持PHP5.3.3以上版本

    如果你是PHP 5.3.3以上的版本,可以修改/usr/local/php/etc/php.ini在末尾里加入: [HOST=www.jb51.net] open_basedir=/home/wwwroot/www.jb51.net/:/tmp/ [PATH=/home/wwwroot/www.jb51.net] open_basedir=/home/wwwroot/www.jb51.net/:/tmp/ 按上面的这个例子修改,换成你自己的域名和目录,多个网站就按上面的例子改成多个,最后重启ph

  • Python djanjo之csrf防跨站攻击实验过程

    Python djanjo之csrf防跨站攻击实验过程

    一.CSRF简介 CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账-造成的问题包括:个人隐私泄露以及财产安全. CSRF漏洞现状? CSRF这种

  • SpringSecurity框架下实现CSRF跨站攻击防御的方法

    SpringSecurity框架下实现CSRF跨站攻击防御的方法

    一.什么是CSRF 很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事.其实不是,先解释一下: CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问. CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在. 当我们使用Spring Security的时候,这种CSRF漏洞默认的被防御掉了.但是你会发现在跨域请求的情况下,我们的PO

  • Laravel5中防止XSS跨站攻击的方法

    本文实例讲述了Laravel5中防止XSS跨站攻击的方法.分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击. 1.安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/.Purifier 是

  • php跨站攻击实例分析

    本文实例讲述了php跨站攻击的原理与防范技巧.分享给大家供大家参考.具体方法分析如下: 跨站攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨站攻击呢?下面就以一个防止跨站攻击例子来说明,希望对各位有帮助. 复制代码 代码如下: <?php #demo for prevent csrf /** * enc */ function encrypt($token_time) { return md5('!@##$@$$#%43' . $token_time); } $token_

  • PHP实现的防止跨站和xss攻击代码【来自阿里云】

    本文实例讲述了PHP实现的防止跨站和xss攻击代码.分享给大家供大家参考,具体如下: 文档说明: 1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入.跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPC

  • CSRF跨站请求伪造漏洞分析与防御

    CSRF跨站请求伪造漏洞分析与防御

    目录 CSRF 漏洞原理 漏洞危害 防御绕过 漏洞利用 防御措施 总结 CSRF 现在的网站都有利用CSRF令牌来防止CSRF,就是在请求包的字段加一个csrf的值,防止csrf,要想利用该漏洞,要和xss组合起来,利用xss获得该csrf值,在构造的请求中将csrf值加进去,就可以绕过csrf防御,利用该漏洞. 该漏洞与xss的区别:xss是通过执行恶意脚本,获取到用户的cookie等信息,再利用cookie等信息进行绕过登录限制,做一些用户可以做的事. 而csrf是伪造请求,让用户自己执行攻

  • IE8 引入跨站数据获取功能说明

    (从文档上看,这个接口还在开发过程中).官方的解释是 Represents a cross-domain XML request via HTTP. 这是个很好的消息哈.XMLRequest 不能跨站一直都是多子域服务器的硬伤.使得很多情况不得不考虑最原始的动态script和JSON的方式.不过IE8团队有意解决跨站访问数据的问题,是ie8的一个进步呀. 不过这里又担心了,ie8进步了,其他浏览器没跟上怎么办呢?要是ie团队把JSONRequset实现了那就更加爽YY了.http://www.j

  • php中防止伪造跨站请求的小招式

    伪造跨站请求介绍 伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等.这种攻击常见的表现形式有: 伪造链接,引诱用户点击,或是让用户在不知情的情况下访问 伪造表单,引诱用户提交.表单可以是隐藏的,用图片或链接的形式伪装. 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查.这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦. yahoo对付伪

  • 浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法

    浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法

    在HTTP POST请求中,我们多次在View和Controller中看下如下代码: 1.View中调用了Html.AntiForgeryToken(). 2.Controller中的方法添加了[ValidateAntiForgeryToken]注解. 这样看似一对的写法其实是为了避免引入跨站请求伪造(CSRF)攻击. 这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网站Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年墨西哥一

随机推荐