我们有两个网站一个是main.xxx.cn 一个是 preveiw.xxx.cnmain.xxx.cn 页面需要加载preview.xxx.cn的内容。项目里面出现了两种的加载preview.xxx.cn内容的方式。一种是iframe另一个是ajax。1.iframe加载的要求 两个页面都把 doc...
分类:
其他好文 时间:
2014-09-15 17:18:59
阅读次数:
181
Tornado Web服务器概览,tornado教程,tornado开发教程概览Overview下载和安装模块索引主要模块底层模块Tornado 攻略请求处理程序和请求参数重写 RequestHandler 的方法函数重定向(redirect)模板Cookie 和安全 Cookie用户认证跨站伪造请...
分类:
其他好文 时间:
2014-09-14 22:04:47
阅读次数:
357
要完全防止跨域攻击是很难的,对于有些站点是直接 拦截跨域的访问,在你从本站点跳转到其他站点时提醒,这算是一种手段吧。而跨域攻击的发起就是在代码(包括html,css,js或是后台代码,数据库数据)里插入一些特殊功能的字符,达到攻击者目的。比如在你的html里插入一段代码,当用户点击是将用户sessi...
分类:
其他好文 时间:
2014-09-12 11:43:43
阅读次数:
199
变量比较 首先进行类型转换‘qqq’ == 0 ==> true 'qqq'与整形比较 要先转化为整形 0"" == false ===>true “‘转换为boolen值1、反射型,恶意代码附加在url上面2、持久型,网站的留言,评论列表等用户交互区域xss "> // 输入为 ">HTTP_U....
分类:
其他好文 时间:
2014-09-12 07:47:43
阅读次数:
226
第一类:第二类:用STYLE标签引用其他网站上的css文件css文件里包含跨站程序body{background-image:url('javascript:alert();');}第三类:第四类:鼠标进入本区域执行Javascript鼠标离开本区域执行Javascript鼠标在选区滚轮时执行J.....
分类:
编程语言 时间:
2014-09-11 17:00:42
阅读次数:
234
最近在做项目过程中遇到客户端访问不同域的服务时,IE10以下的版本不会发起http请求(google和火狐内置支持跨域)。这是为了对跨站点请求伪造攻击采取的安全措施。如果我们需要跨域访问,那该怎么办那?不用怕IE还是给我们提供了一个解决方法。在IE8以后,它提供了一个XDomainRequest对象...
分类:
其他好文 时间:
2014-09-10 22:24:41
阅读次数:
212
0×01 前言:《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下...
分类:
其他好文 时间:
2014-09-09 21:28:09
阅读次数:
263
1.我们都知道当你浏览网站的时候,对方的服务器会记录下你的IP地址。如果我们伪造IP为XSS代码呢?这里说的修改IP为XSS不是说修改PC端的,而是在浏览器也就是网页上的客户端进行修改。2.需要FireFox浏览器一个FireFox附件X-Forwarded-ForHeader一个因为PHP获取IP...
分类:
其他好文 时间:
2014-09-09 19:52:49
阅读次数:
228
或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞与漏洞利用的关系,不可同日而语。你的系统是否出现过“****内存不能为rea...
分类:
Web程序 时间:
2014-09-07 18:27:45
阅读次数:
203
Tornado Web服务器从设计之初就在安全方面有了很多考虑,使其能够更容易地防范那些常见的漏洞。安全 cookies 防止用户的本地状态被其浏览器中的恶意代码暗中修改。此外,浏览器cookies 可以与 HTTP 请求参数值作比较来防范跨站请求伪造攻击。Cookie 漏洞:许多网站使用浏览器 c...
分类:
其他好文 时间:
2014-09-06 17:15:33
阅读次数:
334
