Ajax的特性: 局部更新。仅仅更新数据。 不会页面跳转 不需要iframe 异步更新,在请求受阻,其他部分的代码可以继续执行。 接收回复并处理。 Ajax的使用特点: 第一,生成XMLHTTPRequest对象; 第二,发出请求; 第三,处理请求返回的结果 <html> <head> <scrip ...
分类:
Web程序 时间:
2020-01-27 15:54:34
阅读次数:
130
如果在iframe中引用了其他来源的页面,当前网站的JS不能控制iframe中的元素。 <iframe id='myIFrame' src = 'x1.html' onload="fun1()"></iframe> <p id='2'>I am 2.html.</p> <p id='p'>hello ...
分类:
Web程序 时间:
2020-01-27 15:37:50
阅读次数:
447
www.myzoo.com 输入示例 Login a'# 用户a登录 a' or 1# a' or 1=1# a' and 1;# d' or 1# a' or '1 思考:为什么无密码可以登录?为什么最终登录的都是a? b' or 0;# 用户b登录 profile a', Coins=100 w ...
分类:
数据库 时间:
2020-01-27 15:31:19
阅读次数:
168
XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
XSS攻击即为(Cross Site Scripting), 中文为跨站脚本。 之所以它的名字不是CSS而是XSS,是为了区分CSS。 XSS攻击是发生在目标用户的浏览器上的,当渲染DOM树的过程中执行了不该执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不是“跨站”,而是“脚本” 页面执行不该 ...
分类:
Web程序 时间:
2020-01-27 15:23:08
阅读次数:
149
源(origin): <protocol, domain, port> Protocol: http://, file://, ftp:// Domain: microsoft.com, google.com Port: 80, 8080, 21, 3128, etc (1)SOP 使用网站的源信息 ...
分类:
Web程序 时间:
2020-01-27 15:22:55
阅读次数:
143
什么是 CSRF Cross-site request forgery( 跨站请求伪造 ) CSRF 利用服务器对用户浏览器的信任 被攻击网站依赖用户的身份认证 攻击者使得用户的浏览器发送 HTTP 请求到目标网站 CSRF 的步骤(用户浏览器主动完成) 攻击者确定目标网站(存在CSRF漏洞的网站: ...
分类:
Web程序 时间:
2020-01-27 12:38:32
阅读次数:
92
HTML(Hypertext Markup Language):指定网页静态内容的语言 Hypertext:文本、多媒体、链接... Markup:可以用来标识文档结构和内容类型的特殊符号,即标签 2.2HTML重要元素 标签 Anchors 使用标签 <a> 来设置,可以链接到网络上的任意文件 h ...
分类:
Web程序 时间:
2020-01-27 12:35:09
阅读次数:
78
HTTP 持久性 (1)HTTP 是一个无状态的协议:服务器不记录请求之间的关系 e.g. 购物,提交购物车、付钱两次请求之间,http协议不记录这两个请求之间的关系 (2HTTP 如何实现会话的持久性的呢? Cookie HTTP Cookie Cookie 的用途 (1)Cookie 用户浏览器 ...
分类:
Web程序 时间:
2020-01-27 12:34:57
阅读次数:
91
为什么需要SSL? 明文不安全 明文传输的用户名和密码被侦听到 实验:使用wireshark抓包 Phishing(钓鱼攻击): http://item.taobao.com/ http.//item.taobao/auction.com/ 什么是SSL? 1994.网景公司(Netscape) S ...
分类:
Web程序 时间:
2020-01-27 12:32:16
阅读次数:
124
