国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　如果應(yīng)用框架提供安全支持，那么開發(fā)人員將會多么高效？

　　在安全支持這個問題上，盡管當前的框架確實提供了一些價值，但是仍然有許多工作是要做的，來消除像資料隱碼攻擊、跨站點腳本(XSS)和跨站點請求偽造(CSRF)這樣的漏洞。

　　當前，開發(fā)框架是安全代碼創(chuàng)建的最好支持，但他們不能防止非安全代碼的創(chuàng)建。這意味著只有了解標準的框架和可用的安全設(shè)施的開發(fā)人員，才能更適合創(chuàng)建安全代碼這個位置。但通常情況下，開發(fā)人員對安全代碼實踐都了解的比較少—尤其是對框架安全功能的了解—這也會給應(yīng)用程序帶來常見的漏洞。

　　在每個基礎(chǔ)漏洞上，這里有一些常用的框架中的設(shè)備，這些框架會引入一些安全問題：

　　-SQL注入。像Hibernate這樣的對象到關(guān)系映射(ORM)庫可以提供了一些保護，通過吸引開發(fā)人員遠離直接操作的查詢，來防止SQL注入漏洞。然而，大多數(shù)ORM庫允許開發(fā)人員創(chuàng)建自由格式的查詢，但這仍給應(yīng)用程序的開放留下了注入攻擊。

　　-跨站漏洞(XSS)。.NET框架提供了一些開箱即用的XSS的保護，通過ValidateRequest屬性可用。這很有用，但因為它依賴于一個已知的無效負載黑名單，這可能會被繞過。因此，開發(fā)人員仍然需要正確地編碼數(shù)據(jù)，以防止XSS漏洞。

　　-跨站點請求偽造(CSRF)。Tomcat servlet容器的最新版本CSRF保護過濾器，它提供很多保護來防止CSRF攻擊。

　　這是框架和應(yīng)對策略的一個簡單列表，但事實是，對于大部分開發(fā)平臺，沒有很好的標準工具集和庫，來防止引入公共類的漏洞。

　　這一領(lǐng)域中的一項有趣的開發(fā)是來自于的playdoh項目。Playdoh是基于Django Python Web應(yīng)用框架的一個Web應(yīng)用模版。開發(fā)人員在Playdoh中建立應(yīng)用程序來訪問所有的Django的安全設(shè)施以及一些額外的默認安全庫和設(shè)置。相對來說，Playdoh還是一個新項目，而且當于Java版本(JEE)或ASP.NET相對，Django在許多的協(xié)作環(huán)境下還不是很常用，但Django方法確是前途無量的。

　　未來，也許其他平臺也會采取類似的、全面的和默認安全模型的安全編碼。據(jù)說，雖然框架在幫助團隊創(chuàng)建應(yīng)用程序而不帶來常見漏洞方面有一定的幫助，但沒有什么可以替代所有的開發(fā)人員擁有的一些安全設(shè)計和編碼原則的知識。