参考链接:https://www.cnblogs.com/chunxiong/p/9406178.html 稍微修改了一下。。。学习学习!! ...
1、XSS 跨站脚本攻击 原理:页面渲染的数据中包括可运行的脚本 注入点:html节点的内容中;html中DOM元素的属性中;JavaScript代码;富文本 防范:①http响应头中添加x-xss-protection,值为0为关闭,值为1为打开(默认) ②对特定字符做转义:用<替换<,用& ...
分类:
其他好文 时间:
2019-09-08 10:03:10
阅读次数:
92
html css 这里我们 使用到 position : absolute;同时设置 bottom:0;left:0; 来生成 绝对定位 因为我们这里 position : absolute 要生效, 相对于 static 定位以外的第一个父元素进行定位 所以我们 设置父元素为相对定位 ...
分类:
Web程序 时间:
2019-09-05 01:05:47
阅读次数:
172
之前介绍过csrf攻击,那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击,这种攻击和csrf不同的是,恶意脚本是注入到了用户要访问页面的本身,而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性(一般通过url) 举个栗子: 正常发 ...
分类:
其他好文 时间:
2019-09-04 09:57:08
阅读次数:
80
https: http可以被劫持、可以被篡改; CSP: network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可 ...
分类:
其他好文 时间:
2019-09-03 00:04:07
阅读次数:
86
poc <script>alert('xss')</script> 最简单常用的poc <a href='' onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗 <img src=http://1.1.1.1/a.ipg one ...
分类:
其他好文 时间:
2019-09-01 12:46:47
阅读次数:
161
CSRF: 在浏览器存有 Web_A 的 Cookie 时访问 Web_B,B 要求访问第三方网站Web_A,此时浏览器会自动带上 Web_A 的Cookie去访问 Web_A,从而拥有 User_C 在 Web_A 的权限,进而使用 User_A 的权限去执行恶意操作。 防御:Token、隐藏令牌 ...
分类:
其他好文 时间:
2019-08-28 23:56:53
阅读次数:
176
一、XSS(跨站脚本攻击) 攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的 解决方式: 1、从客户端和服务器端双重验证所有的输入数据,这一般能阻挡大部分注入的脚本 2、对所有的数据进行适当的编码 3、设置 HTTP Header: "X-XSS-Protect ...
分类:
Web程序 时间:
2019-08-25 22:55:13
阅读次数:
203
1.今日工作 实现点击主页食堂入口即可跳转到对应食堂页面;新建了三个食堂内选餐的页面,每个页面内都设置了食堂介绍栏,菜单栏和底部购物车,菜单栏展示菜品的图片,名称及价格 还有选择菜品的加号图标 2.明日计划 实现菜品添加至购物车功能,选菜数量的加减,对应的购物车状态的改变,应付价格的变动,实现清空购 ...
分类:
其他好文 时间:
2019-08-25 20:27:06
阅读次数:
102
一、XSS跨站脚本攻击 1、XSS攻击有两大步骤: (1)、攻击者提交恶意代码 (2)、浏览器执行恶意代码 2、XSS攻击的分类 根据攻击的来源,XSS攻击可以分为存储型、反射型、DOM型三种: 1、纯前端渲染,把代码和数据分割开 2、对html充分转义 1、避免使用.innerHTML、.oute ...
分类:
Web程序 时间:
2019-08-25 18:06:03
阅读次数:
222
