关于跨域访问,使用JSONP的方法,我前面已经demo过了,具体见http://supercharles888.blog.51cto.com/609344/856886,HTML5提供了一个非常强大的API,叫postMessage,它其实就是以前iframe的进化版本,使用起来极其方便,这里举个实验例子:
我们依旧按照与上文相同的设定,假定我们有2个Domain
Domain1: h...
分类:
Web程序 时间:
2014-06-18 12:23:53
阅读次数:
278
先说前端使用 jQuery 时怎么区分: jQuery发出 ajax 请求时,会在请求头部添加一个名为X-Requested-With的信息,信息内容为:XMLHttpRequest 在后端可以使用 $_SERVER["HTTP_X_REQUESTED_WITH"]来获取。(注意:中划线换成了下.....
分类:
Web程序 时间:
2014-06-18 08:45:40
阅读次数:
335
这个应该是面试中问的比较多的问题,但我竟然才学会,罪过啊罪过.......
分类:
Web程序 时间:
2014-06-18 07:04:23
阅读次数:
184
在网站前端开发中,浏览器兼容性问题本已让我们手忙脚乱,Chrome的出世不知道又要给我们添多少乱子。浏览器兼容性是前端开发框架要解决的第一个问题,要解决兼容性问题就得首先准确判断出浏览器的类型及其版本。 JavaScript是前端开发的主要语言,我们可以通过编写JavaScript程序来判断浏览器的类型及版本。JavaScript判断浏览器类型一般有两种办法,一种是根据各种浏览器独有的属性来分辨,...
分类:
Web程序 时间:
2014-06-17 22:24:51
阅读次数:
298
上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的 XSS 代码,就是加载站外的一个脚本文件。对...
分类:
其他好文 时间:
2014-06-17 20:14:45
阅读次数:
167
上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面。到目前为止,我们防护的深度已经差不多,但广度还有所欠缺。例如,我们的属性钩子只考虑了 setAttribute,却忽视还有类似的 setAttributeNode。尽管从来不用这方法,但并不意味人家不能使用。例如...
分类:
其他好文 时间:
2014-06-17 19:43:00
阅读次数:
233
为什么使用Sass作为前端(html、javascript、css)的三大马车之一的css,一直以静态语言存在,HTML5火遍大江南北了、javascript由于NODE.JS而成为目前前后端统一开发语言的不二之眩只有css似乎成为前端开发的被忽视的角色了。Sass让css有了动态语言的特点,在初次学习css时,有..
分类:
其他好文 时间:
2014-06-17 18:06:18
阅读次数:
219
由于之前合并了流程及表单分类,在高级查询和流程管理页面打开z-tree树时,前端页面报出queryAllCategory()的空指针异常(逐步调试后在该方法中无空指针异常),并报如下错误:[16/06/1407:30:07:007CST]DEBUGsql.Connection:xxxConnectionClosedorg.codehaus.jackson.map.Json..
分类:
其他好文 时间:
2014-06-17 17:41:14
阅读次数:
190
昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用 MutationObserver 扫描。动态模块:通过 API 钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的 API Hook,以及各种外挂木马。当然,未必是系统函数,任...
分类:
其他好文 时间:
2014-06-17 15:55:53
阅读次数:
208
关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未...
分类:
其他好文 时间:
2014-06-17 15:48:49
阅读次数:
378
