- Văn bản
- Lịch sử
CountermeasureFor all elements to b
Countermeasure
For all elements to be output, performs escape processing
From the string to be passed to the program from outside, to escape characters that have special meaning ( "", "" ", etc.). However, the elements of the HTML to properly escape, it takes a variety of knowledge. As much as possible, it is recommended to avoid the dynamic generation of HTML using the document.write and innerHTML. It should be noted that by using the innerText instead of innerHTML, general XSS is prevented.
URL to be output "http: //" or "https: //" to only the URL that begins with
If you want to dynamically generate a URL, such as href attributes and img tag of the src attribute of a tag based on the input from the outside, "javascript:" If that is embedded the script enter the string that begins from such Yes you. To prevent this, "http: //" and "https: //" and then only to output a URL that begins with.
Generating elements using input values from outside avoided
Do not similar to the following implementation.
var tag = document.createElement ( "d1");
/ * Untrusted = "{left: expression (alert ( 'xss'))" XSS, etc. occurs * /
d1.style.cssText = untrusted;
Generation of style sheet using the input value from the external Avoid
The style sheet, you can write a script using the expression () and the like. For this reason, the following programs are vulnerable.
var tag = document.createElement ( "d1");
/ * Untrusted = "{left: expression (alert ( 'xss'))" XSS, etc. occurs * /
d1.style.cssText = untrusted;
Do not read JavaScript and CSS that was placed in the untrusted external site
Changes the import destination of the script, suddenly one day, you might program for stealing data is activated. If you take in and outside of the script, whether you can trust the site, please fully examined.
More detailed measures how
Cross-site scripting [References: salesforce.com]
Prevent cross-site request forgery
And cross-site request forgery is
Cross-site request forgery and is (Cross-Site Request Forgeries following CSRF), incorporates a script to the Web site, one of the attack methods to perform some operation to another Web site unintentionally visitors. If this attack was carried out on the next engine, because the request is sent from the user's own you log in to the next engine, there is a case that the request from being executed.
The general flow of the attack
Attacker, be published on the WWW to create a Web page for the attack.
(Even if not on the WWW, in HTML mailer of non-measures, such as sending a web page as an HTML e-mail, can be considered a variety of attack methods.)
Third parties, access to the Web page for the attack.
Third party is allowed to send any of the HTTP request the attacker was prepared.
The HTTP request is then transmitted, the intended operation attacker is performed.
(Where "third party" is used in the sense that is to have access unintentionally to the attack site.)
Threats that can occur
Users of the next engine, itself would perform the unintended operation.
Restrictions to prevent CSRF
In the next engine, the following measures have been taken against CSRF. Therefore accept only requests from the domain you have registered as an application URL that accepts only request a token with which are issued for each session, you can not send a request to the next engine without the use of a next engine API.
Notes at the time of the next engine API use
Because by CRSF measures of the above limitations, requests that do not use the next engine API described in this site can not be run from the outside. In addition, the request by the next engine API, you must include the authentication information. How to include authentication information in the request, please refer to the description and the SDK and the sample of this site as a reference.
More detailed measures how
Cross-site request forgery [References: salesforce.com]
SQL Injection
SQL injection and is
SQL injection , one of the attack techniques and is a Web site in conjunction with the database, by giving a fragment of the SQL statement as a parameter to the program to query and manipulate the database, to obtain unauthorized information or to tamper with the database .
Countermeasure
SQL injection [References: salesforce.com]
To use HTTPS to communicate
Restriction of communication method
In the service of the next engine, it encrypts the communication with your Web browser by HTTPS. Also in communication in order to use the next engine API, you must use the HTTPS. Also, provision of the app will ask you to provide in HTTPS.
The acquired data is stored properly
The data obtained from the next engine, will contain personal information and confidential information. If you want to save these information in an external application, so that the outflow and loss of data does not occur, please carefully to carry out the operation and the design of the system. In particular, please avoid such
For all elements to be output, performs escape processing
From the string to be passed to the program from outside, to escape characters that have special meaning ( "", "" ", etc.). However, the elements of the HTML to properly escape, it takes a variety of knowledge. As much as possible, it is recommended to avoid the dynamic generation of HTML using the document.write and innerHTML. It should be noted that by using the innerText instead of innerHTML, general XSS is prevented.
URL to be output "http: //" or "https: //" to only the URL that begins with
If you want to dynamically generate a URL, such as href attributes and img tag of the src attribute of a tag based on the input from the outside, "javascript:" If that is embedded the script enter the string that begins from such Yes you. To prevent this, "http: //" and "https: //" and then only to output a URL that begins with.
Generating elements using input values from outside avoided
Do not similar to the following implementation.
var tag = document.createElement ( "d1");
/ * Untrusted = "{left: expression (alert ( 'xss'))" XSS, etc. occurs * /
d1.style.cssText = untrusted;
Generation of style sheet using the input value from the external Avoid
The style sheet, you can write a script using the expression () and the like. For this reason, the following programs are vulnerable.
var tag = document.createElement ( "d1");
/ * Untrusted = "{left: expression (alert ( 'xss'))" XSS, etc. occurs * /
d1.style.cssText = untrusted;
Do not read JavaScript and CSS that was placed in the untrusted external site
Changes the import destination of the script, suddenly one day, you might program for stealing data is activated. If you take in and outside of the script, whether you can trust the site, please fully examined.
More detailed measures how
Cross-site scripting [References: salesforce.com]
Prevent cross-site request forgery
And cross-site request forgery is
Cross-site request forgery and is (Cross-Site Request Forgeries following CSRF), incorporates a script to the Web site, one of the attack methods to perform some operation to another Web site unintentionally visitors. If this attack was carried out on the next engine, because the request is sent from the user's own you log in to the next engine, there is a case that the request from being executed.
The general flow of the attack
Attacker, be published on the WWW to create a Web page for the attack.
(Even if not on the WWW, in HTML mailer of non-measures, such as sending a web page as an HTML e-mail, can be considered a variety of attack methods.)
Third parties, access to the Web page for the attack.
Third party is allowed to send any of the HTTP request the attacker was prepared.
The HTTP request is then transmitted, the intended operation attacker is performed.
(Where "third party" is used in the sense that is to have access unintentionally to the attack site.)
Threats that can occur
Users of the next engine, itself would perform the unintended operation.
Restrictions to prevent CSRF
In the next engine, the following measures have been taken against CSRF. Therefore accept only requests from the domain you have registered as an application URL that accepts only request a token with which are issued for each session, you can not send a request to the next engine without the use of a next engine API.
Notes at the time of the next engine API use
Because by CRSF measures of the above limitations, requests that do not use the next engine API described in this site can not be run from the outside. In addition, the request by the next engine API, you must include the authentication information. How to include authentication information in the request, please refer to the description and the SDK and the sample of this site as a reference.
More detailed measures how
Cross-site request forgery [References: salesforce.com]
SQL Injection
SQL injection and is
SQL injection , one of the attack techniques and is a Web site in conjunction with the database, by giving a fragment of the SQL statement as a parameter to the program to query and manipulate the database, to obtain unauthorized information or to tamper with the database .
Countermeasure
SQL injection [References: salesforce.com]
To use HTTPS to communicate
Restriction of communication method
In the service of the next engine, it encrypts the communication with your Web browser by HTTPS. Also in communication in order to use the next engine API, you must use the HTTPS. Also, provision of the app will ask you to provide in HTTPS.
The acquired data is stored properly
The data obtained from the next engine, will contain personal information and confidential information. If you want to save these information in an external application, so that the outflow and loss of data does not occur, please carefully to carry out the operation and the design of the system. In particular, please avoid such
0/5000
CountermeasureCho tất cả các yếu tố để là đầu ra, thực hiện xử lý thoátTừ chuỗi được thông qua chương trình từ bên ngoài, để thoát ký tự có ý nghĩa đặc biệt ("<", ">", "" ", v.v..). Tuy nhiên, các yếu tố HTML để thoát ra đúng cách, nó có một loạt các kiến thức. Càng nhiều càng tốt, nên để tránh hệ HTML bằng cách sử dụng document.write và innerHTML, năng động. Cần lưu ý rằng bằng cách sử dụng quát thay vì innerHTML, XSS chung là ngăn chặn.URL để là đầu ra "http: / /" hoặc "https: / /" để chỉ URL bắt đầu bằngNếu bạn muốn tự động tạo ra một URL, chẳng hạn như các thuộc tính href và img tag trong các thuộc tính src của thẻ dựa trên đầu vào từ bên ngoài, "javascript:" nếu đó nhúng các kịch bản nhập chuỗi bắt đầu từ như vậy có bạn. Để ngăn chặn điều này, "http: / /" và "https: / /" và sau đó chỉ ra một URL mà bắt đầu với.Tạo ra các yếu tố sử dụng giá trị đầu vào từ bên ngoài tránhKhông giống với việc thực hiện.từ khóa var = document.createElement ("d1");/ * Không đáng tin cậy = "{trái: biểu hiện (cảnh báo ('xss'))" XSS, vv xảy ra * /D1.style.cssText = không đáng tin cậy;Các thế hệ của phong cách trang bằng cách sử dụng các giá trị đầu vào từ bên ngoài tránhPhong cách trang, bạn có thể viết một kịch bản bằng cách sử dụng biểu thức và như thế. Vì lý do này, các chương trình được dễ bị tổn thương.từ khóa var = document.createElement ("d1");/ * Không đáng tin cậy = "{trái: biểu hiện (cảnh báo ('xss'))" XSS, vv xảy ra * /D1.style.cssText = không đáng tin cậy;Không đọc JavaScript và CSS được đặt trong các trang web bên ngoài không đáng tin cậyThay đổi đích đến nhập khẩu của các tập lệnh, đột nhiên một ngày, bạn có thể chương trình cho ăn cắp dữ liệu được kích hoạt. Nếu bạn đi trong và ngoài kịch bản, cho dù bạn có thể tin tưởng các trang web, xin vui lòng hoàn toàn kiểm tra.Chi tiết hơn các biện pháp như thế nàoCross-site scripting [tài liệu tham khảo: salesforce.com]Ngăn chặn giả mạo yêu cầu cross-siteVà giả mạo yêu cầu cross-siteGiả mạo yêu cầu Cross-site và (Cross-Site yêu cầu giả mạo sau CSRF), kết hợp một kịch bản để các trang Web, một trong những phương pháp tấn công để thực hiện một số thao tác với một trang Web trang web vô ý khách truy cập. Nếu cuộc tấn công này được thực hiện trên các công cụ tiếp theo, bởi vì yêu cầu được gửi từ người sử dụng của riêng bạn đăng nhập vào các công cụ tiếp theo, đó là một trường hợp có yêu cầu từ đang được thực thi.Dòng chảy chung của các cuộc tấn côngKẻ tấn công, được công bố trên WWW để tạo ra một trang Web cho các cuộc tấn công. (Thậm chí nếu không phải trên WWW, HTML mailer không-các biện pháp, chẳng hạn như việc gửi một trang web như HTML email, có thể được coi là một loạt các phương pháp tấn công.)Bên thứ ba truy cập vào các trang Web cho các cuộc tấn công.Bên thứ ba được cho phép để gửi bất kỳ HTTP yêu cầu kẻ tấn công đã được chuẩn bị.Yêu cầu HTTP sau đó được truyền đi, những kẻ tấn công dự định hoạt động được thực hiện. (Nơi "bên thứ ba" được sử dụng trong ý nghĩa là phải có quyền truy cập vô ý để tấn công các trang web.)Các mối đe dọa có thể xảy raNgười dùng các công cụ tiếp theo, chính nó sẽ thực hiện các hoạt động không mong đợi.Các hạn chế để ngăn chặn CSRFTrong các động cơ tiếp theo, các biện pháp sau đây đã được thực hiện chống lại CSRF. Do đó chấp nhận chỉ yêu cầu từ các tên miền bạn đăng ký như là một ứng dụng URL chấp nhận chỉ yêu cầu một mã thông báo với đó được phát hành cho mỗi phiên làm việc, bạn không thể gửi một yêu cầu cho công cụ tiếp theo mà không cần sử dụng một công cụ tiếp theo API.Sử dụng các ghi chú vào thời điểm của động cơ tiếp theo APIVì bởi CRSF các biện pháp hạn chế nêu trên, yêu cầu không sử dụng động cơ tiếp theo API được mô tả trong trang web này không có thể được chạy từ bên ngoài. Ngoài ra, yêu cầu của các công cụ tiếp theo API, bạn phải bao gồm các thông tin xác thực. Làm thế nào để bao gồm các thông tin xác thực trong yêu cầu, xin vui lòng tham khảo các mô tả và SDK và mẫu của trang web này như là một tài liệu tham khảo.Chi tiết hơn các biện pháp như thế nàoGiả mạo yêu cầu Cross-site [tài liệu tham khảo: salesforce.com]SQL InjectionSQL injection và làSQL injection, một trong các kỹ thuật tấn công và là một trang Web cùng với cơ sở dữ liệu, bằng cách đưa ra một mảnh của các lệnh SQL như một tham số cho các chương trình để truy vấn và thao tác cơ sở dữ liệu, lấy thông tin trái phép hoặc làm xáo trộn cơ sở dữ liệu.CountermeasureSQL injection [tài liệu tham khảo: salesforce.com]Để sử dụng HTTPS giao tiếpHạn chế của phương pháp giao tiếpHoạt động tiếp theo, nó mã hóa thông tin liên lạc với các trình duyệt Web của bạn bằng HTTPS. Cũng trong giao tiếp để sử dụng các công cụ tiếp theo API, bạn phải sử dụng HTTPS. Ngoài ra, các điều khoản của ứng dụng sẽ yêu cầu bạn cung cấp HTTPS.Mua lại dữ liệu được lưu trữ đúng cáchDữ liệu thu được từ các động cơ tiếp theo, sẽ chứa thông tin cá nhân và thông tin bí mật. Nếu bạn muốn lưu các thông tin này trong một ứng dụng bên ngoài, do đó dòng chảy và mất dữ liệu không xảy ra, xin vui lòng một cách cẩn thận để thực hiện các hoạt động và các thiết kế của hệ thống. Đặc biệt, xin vui lòng tránh như vậy
đang được dịch, vui lòng đợi..
Biện pháp đối phó
Đối với tất cả các yếu tố để được đầu ra, thực hiện thoát chế biến
từ các chuỗi để được thông qua các chương trình từ bên ngoài, để thoát khỏi nhân vật có ý nghĩa đặc biệt ( "<", ">" "," ", vv). Tuy nhiên, các yếu tố của HTML để đúng cách trốn thoát, phải mất một loạt các kiến thức. càng nhiều càng tốt, nó được khuyến khích để tránh những hệ năng động của HTML bằng cách sử dụng document.write và innerHTML. cần lưu ý rằng bằng cách sử dụng các innerText thay vì innerHTML , nói chung XSS là ngăn ngừa.
URL được đầu ra "http: //" hoặc "https: //" để chỉ URL bắt đầu với
Nếu bạn muốn tự động tạo ra một URL, chẳng hạn như các thuộc tính href và thẻ img của thuộc tính src của một thẻ dựa trên đầu vào từ bên ngoài, "javascript:" Nếu được nhúng vào các kịch bản nhập vào chuỗi bắt đầu từ đó có bạn Để ngăn chặn điều này, "http: //". và "https: //" và sau đó chỉ để ra một URL bắt đầu bằng.
Tạo yếu tố sử dụng các giá trị đầu vào từ bên ngoài tránh
làm không giống với việc thực hiện sau đây.
var tag = document.createElement ( "d1");
/ * Untrusted = "{trái: biểu thức (cảnh báo ( 'XSS')) "XSS, vv xảy ra * /
d1.style.cssText = không tin cậy;
thế hệ của tấm phong cách sử dụng các giá trị đầu vào từ bên ngoài Tránh
bảng phong cách, bạn có thể viết một kịch bản sử dụng các biểu thức () và như. Vì lý do này, các chương trình sau là dễ bị tổn thương.
Var tag = document.createElement ( "d1");
/ * Untrusted = "{trái: biểu thức (alert ( 'XSS'))" XSS, vv xảy ra * /
d1.style .cssText = không tin cậy;
Đừng đọc JavaScript và CSS đã được đặt trong các trang web bên ngoài không đáng tin cậy
Thay đổi địa điểm nhập khẩu của kịch bản, đột nhiên một ngày, bạn có thể lập trình để ăn cắp dữ liệu được kích hoạt. Nếu bạn đi trong và bên ngoài của kịch bản, cho dù bạn có thể tin tưởng trang web, xin vui lòng kiểm tra đầy đủ.
Biện pháp chi tiết hơn cách
Cross-site scripting [Tài liệu tham khảo: salesforce.com]
Ngăn chặn cross-site giả mạo yêu cầu
và cross-site giả mạo yêu cầu là
Thập -site tặc giả và là (yêu cầu giấy tờ giả mạo Cross-site sau CSRF), kết hợp một kịch bản cho trang web, một trong những phương pháp tấn công để thực hiện một số hoạt động cho một trang web khác vô ý khách. Nếu cuộc tấn công này được thực hiện trên các công cụ tiếp theo, bởi vì yêu cầu được gửi từ người dùng của riêng bạn đăng nhập vào công cụ tiếp theo, có một trường hợp yêu cầu được thực thi.
Các dòng chảy chung của các cuộc tấn công
Attacker, được công bố trên WWW để tạo ra một trang web cho các cuộc tấn công.
(Thậm chí nếu không phải trên WWW, HTML bưu phẩm của phi pháp, chẳng hạn như gửi một trang web như là một HTML e-mail, có thể được coi là một loạt các phương pháp tấn công.)
các bên thứ ba, truy cập vào các trang web cho các cuộc tấn công.
bên thứ ba được phép gửi bất kỳ yêu cầu HTTP những kẻ tấn công đã được chuẩn bị.
các yêu cầu HTTP sau đó được truyền đi, những kẻ tấn công hoạt động dự kiến được thực hiện.
(Trường hợp "bên thứ ba" được sử dụng trong ý nghĩa đó là phải có quyền truy cập vô ý để các trang web bị tấn công.)
các mối đe dọa có thể xảy ra
người sử dụng của động cơ tới, chính nó sẽ thực hiện các hoạt động ngoài ý muốn.
Hạn chế để ngăn chặn CSRF
trong động cơ tới, các biện pháp sau đây đã được thực hiện đối với CSRF. Do đó chỉ chấp nhận các yêu cầu từ các tên miền mà bạn đã đăng ký như là một URL ứng dụng mà chỉ chấp nhận yêu cầu mã thông báo với được phát hành cho mỗi phiên làm việc, bạn không thể gửi một yêu cầu đến máy tiếp theo mà không cần sử dụng một API cơ tiếp theo.
Ghi chú tại thời gian của việc sử dụng động cơ API tiếp
bởi vì bằng biện pháp CRSF của những hạn chế trên, yêu cầu mà không sử dụng các API cơ tiếp theo mô tả trong trang web này không thể được chạy từ bên ngoài. Ngoài ra, theo yêu cầu của các API cơ tiếp theo, bạn phải bao gồm các thông tin xác thực. Làm thế nào để bao gồm các thông tin xác thực trong yêu cầu, xin vui lòng tham khảo các mô tả và SDK và các mẫu của trang web này như một tài liệu tham khảo.
Biện pháp chi tiết hơn cách
Cross-site giả mạo yêu cầu [Tài liệu tham khảo: salesforce.com]
SQL Injection
SQL injection và
SQL tiêm, một trong những kỹ thuật tấn công và là một trang web kết hợp với cơ sở dữ liệu, bằng cách đưa ra một đoạn của câu lệnh SQL như một tham số cho chương trình để truy vấn và thao tác cơ sở dữ liệu, để có được thông tin trái phép hoặc làm xáo trộn các cơ sở dữ liệu.
biện pháp đối phó
SQL injection [Tài liệu tham khảo: salesforce.com]
để sử dụng HTTPS để giao tiếp
hạn chế của phương pháp giao tiếp
trong các dịch vụ của các công cụ tiếp theo, nó mã hóa các thông tin liên lạc với các trình duyệt Web của bạn bằng HTTPS. Cũng trong thông tin liên lạc để sử dụng công cụ API tiếp theo, bạn phải sử dụng HTTPS. Ngoài ra, việc cung cấp các ứng dụng sẽ yêu cầu bạn cung cấp trong HTTPS.
Các dữ liệu thu được được lưu trữ đúng cách
Các dữ liệu thu được từ động cơ tới, sẽ có những thông tin cá nhân và thông tin bí mật. Nếu bạn muốn lưu các thông tin trong một ứng dụng bên ngoài, do đó các dòng chảy và mất dữ liệu không xảy ra, hãy cẩn thận để thực hiện các hoạt động và các thiết kế của hệ thống. Đặc biệt, hãy tránh như vậy
Đối với tất cả các yếu tố để được đầu ra, thực hiện thoát chế biến
từ các chuỗi để được thông qua các chương trình từ bên ngoài, để thoát khỏi nhân vật có ý nghĩa đặc biệt ( "<", ">" "," ", vv). Tuy nhiên, các yếu tố của HTML để đúng cách trốn thoát, phải mất một loạt các kiến thức. càng nhiều càng tốt, nó được khuyến khích để tránh những hệ năng động của HTML bằng cách sử dụng document.write và innerHTML. cần lưu ý rằng bằng cách sử dụng các innerText thay vì innerHTML , nói chung XSS là ngăn ngừa.
URL được đầu ra "http: //" hoặc "https: //" để chỉ URL bắt đầu với
Nếu bạn muốn tự động tạo ra một URL, chẳng hạn như các thuộc tính href và thẻ img của thuộc tính src của một thẻ dựa trên đầu vào từ bên ngoài, "javascript:" Nếu được nhúng vào các kịch bản nhập vào chuỗi bắt đầu từ đó có bạn Để ngăn chặn điều này, "http: //". và "https: //" và sau đó chỉ để ra một URL bắt đầu bằng.
Tạo yếu tố sử dụng các giá trị đầu vào từ bên ngoài tránh
làm không giống với việc thực hiện sau đây.
var tag = document.createElement ( "d1");
/ * Untrusted = "{trái: biểu thức (cảnh báo ( 'XSS')) "XSS, vv xảy ra * /
d1.style.cssText = không tin cậy;
thế hệ của tấm phong cách sử dụng các giá trị đầu vào từ bên ngoài Tránh
bảng phong cách, bạn có thể viết một kịch bản sử dụng các biểu thức () và như. Vì lý do này, các chương trình sau là dễ bị tổn thương.
Var tag = document.createElement ( "d1");
/ * Untrusted = "{trái: biểu thức (alert ( 'XSS'))" XSS, vv xảy ra * /
d1.style .cssText = không tin cậy;
Đừng đọc JavaScript và CSS đã được đặt trong các trang web bên ngoài không đáng tin cậy
Thay đổi địa điểm nhập khẩu của kịch bản, đột nhiên một ngày, bạn có thể lập trình để ăn cắp dữ liệu được kích hoạt. Nếu bạn đi trong và bên ngoài của kịch bản, cho dù bạn có thể tin tưởng trang web, xin vui lòng kiểm tra đầy đủ.
Biện pháp chi tiết hơn cách
Cross-site scripting [Tài liệu tham khảo: salesforce.com]
Ngăn chặn cross-site giả mạo yêu cầu
và cross-site giả mạo yêu cầu là
Thập -site tặc giả và là (yêu cầu giấy tờ giả mạo Cross-site sau CSRF), kết hợp một kịch bản cho trang web, một trong những phương pháp tấn công để thực hiện một số hoạt động cho một trang web khác vô ý khách. Nếu cuộc tấn công này được thực hiện trên các công cụ tiếp theo, bởi vì yêu cầu được gửi từ người dùng của riêng bạn đăng nhập vào công cụ tiếp theo, có một trường hợp yêu cầu được thực thi.
Các dòng chảy chung của các cuộc tấn công
Attacker, được công bố trên WWW để tạo ra một trang web cho các cuộc tấn công.
(Thậm chí nếu không phải trên WWW, HTML bưu phẩm của phi pháp, chẳng hạn như gửi một trang web như là một HTML e-mail, có thể được coi là một loạt các phương pháp tấn công.)
các bên thứ ba, truy cập vào các trang web cho các cuộc tấn công.
bên thứ ba được phép gửi bất kỳ yêu cầu HTTP những kẻ tấn công đã được chuẩn bị.
các yêu cầu HTTP sau đó được truyền đi, những kẻ tấn công hoạt động dự kiến được thực hiện.
(Trường hợp "bên thứ ba" được sử dụng trong ý nghĩa đó là phải có quyền truy cập vô ý để các trang web bị tấn công.)
các mối đe dọa có thể xảy ra
người sử dụng của động cơ tới, chính nó sẽ thực hiện các hoạt động ngoài ý muốn.
Hạn chế để ngăn chặn CSRF
trong động cơ tới, các biện pháp sau đây đã được thực hiện đối với CSRF. Do đó chỉ chấp nhận các yêu cầu từ các tên miền mà bạn đã đăng ký như là một URL ứng dụng mà chỉ chấp nhận yêu cầu mã thông báo với được phát hành cho mỗi phiên làm việc, bạn không thể gửi một yêu cầu đến máy tiếp theo mà không cần sử dụng một API cơ tiếp theo.
Ghi chú tại thời gian của việc sử dụng động cơ API tiếp
bởi vì bằng biện pháp CRSF của những hạn chế trên, yêu cầu mà không sử dụng các API cơ tiếp theo mô tả trong trang web này không thể được chạy từ bên ngoài. Ngoài ra, theo yêu cầu của các API cơ tiếp theo, bạn phải bao gồm các thông tin xác thực. Làm thế nào để bao gồm các thông tin xác thực trong yêu cầu, xin vui lòng tham khảo các mô tả và SDK và các mẫu của trang web này như một tài liệu tham khảo.
Biện pháp chi tiết hơn cách
Cross-site giả mạo yêu cầu [Tài liệu tham khảo: salesforce.com]
SQL Injection
SQL injection và
SQL tiêm, một trong những kỹ thuật tấn công và là một trang web kết hợp với cơ sở dữ liệu, bằng cách đưa ra một đoạn của câu lệnh SQL như một tham số cho chương trình để truy vấn và thao tác cơ sở dữ liệu, để có được thông tin trái phép hoặc làm xáo trộn các cơ sở dữ liệu.
biện pháp đối phó
SQL injection [Tài liệu tham khảo: salesforce.com]
để sử dụng HTTPS để giao tiếp
hạn chế của phương pháp giao tiếp
trong các dịch vụ của các công cụ tiếp theo, nó mã hóa các thông tin liên lạc với các trình duyệt Web của bạn bằng HTTPS. Cũng trong thông tin liên lạc để sử dụng công cụ API tiếp theo, bạn phải sử dụng HTTPS. Ngoài ra, việc cung cấp các ứng dụng sẽ yêu cầu bạn cung cấp trong HTTPS.
Các dữ liệu thu được được lưu trữ đúng cách
Các dữ liệu thu được từ động cơ tới, sẽ có những thông tin cá nhân và thông tin bí mật. Nếu bạn muốn lưu các thông tin trong một ứng dụng bên ngoài, do đó các dòng chảy và mất dữ liệu không xảy ra, hãy cẩn thận để thực hiện các hoạt động và các thiết kế của hệ thống. Đặc biệt, hãy tránh như vậy
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Chỉ với 7$/tháng sở hữu ngay VPS KVM 2GB
- Public organizations
- It's blond too Toby is tall
- các cách kiếm tiền với blog của bạn
- I say this, next time if want to lie to
- the signal associated with cysteine, whi
- FussyPushySelfishPessimisticIntolerantOp
- con ruồi
- my career job
- tới nơi chưa
- the signal associated with cysteine, whi
- Nothing conpares with you
- Nothing compares with you
- Thác Datanla hùng vĩ chảy qua bảy tầng n
- các cách kiếm tiền với blog của bạn
- Trong 3 ngày, Du phải có được nụ hôn rút
- The material for small screws, etc. shal
- 2290 Quốc Lộ 1A, Phường Trung Mỹ Tây, Qu
- Trong 3 ngày, Du phải có được nụ hôn rút
- Hello August, Can Time Slow Down Please
- 目の前のきみを
- Debt
- được rồi, tôi sẽ cập nhật thông tin sau
- chao ca nha toi la hoang rat han hanh dc
