Tags for循环可用的一些参数: for ... empty if判断 with csrf_token 这个标签用于跨站请求伪造保护。 在页面的form表单里面写上{% csrf_token %} 注意事项 如上,我们在使用render方法渲染一个页面的时候,传的字典d有一个key是items并 ...
分类:
编程语言 时间:
2019-09-08 21:49:43
阅读次数:
108
1、XSS 跨站脚本攻击 原理:页面渲染的数据中包括可运行的脚本 注入点:html节点的内容中;html中DOM元素的属性中;JavaScript代码;富文本 防范:①http响应头中添加x-xss-protection,值为0为关闭,值为1为打开(默认) ②对特定字符做转义:用<替换<,用& ...
分类:
其他好文 时间:
2019-09-08 10:03:10
阅读次数:
92
1. 路由 等同于: 2. Laravel 为了安全考虑,会让我们提供一个 token(令牌)来防止我们的应用受到 CSRF(跨站请求伪造)的攻击。修复该异常的方法很简单,我们只需要在表单元素中添加 Blade 模板为我们提供的 csrf_field 方法即可 3. 错误提示语音包 安装成功后,在 ...
分类:
其他好文 时间:
2019-09-05 13:57:19
阅读次数:
92
html css 这里我们 使用到 position : absolute;同时设置 bottom:0;left:0; 来生成 绝对定位 因为我们这里 position : absolute 要生效, 相对于 static 定位以外的第一个父元素进行定位 所以我们 设置父元素为相对定位 ...
分类:
Web程序 时间:
2019-09-05 01:05:47
阅读次数:
172
axios 是基于原生的ES6 Promise 实现,如果浏览器环境不支持请使用垫片。 1.特征 浏览器端发起XMLHttpRequests请求 node端发起http请求 支持Promise API 拦截请求和返回 转化请求和返回数据 取消请求 自动转化json数据 客户端支持抵御XSRF(跨站请 ...
分类:
移动开发 时间:
2019-09-04 19:15:00
阅读次数:
142
之前介绍过csrf攻击,那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击,这种攻击和csrf不同的是,恶意脚本是注入到了用户要访问页面的本身,而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性(一般通过url) 举个栗子: 正常发 ...
分类:
其他好文 时间:
2019-09-04 09:57:08
阅读次数:
80
csrf 是跨站点伪造请求,主要利用发请求,浏览器每次都会自动带上 cookie 这个特点。 下面我们看看例子: 例子一: 如果博客园有一个关注博主的api是get请求的话,那这里我新建一个恶意页面: 在访问这个页面那一瞬,img就会跨域get请求这个api,你不知不觉间同时也像博客园这个接口发送了 ...
分类:
其他好文 时间:
2019-09-04 09:52:01
阅读次数:
63
https: http可以被劫持、可以被篡改; CSP: network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可 ...
分类:
其他好文 时间:
2019-09-03 00:04:07
阅读次数:
86
poc <script>alert('xss')</script> 最简单常用的poc <a href='' onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗 <img src=http://1.1.1.1/a.ipg one ...
分类:
其他好文 时间:
2019-09-01 12:46:47
阅读次数:
161
CSRF: 在浏览器存有 Web_A 的 Cookie 时访问 Web_B,B 要求访问第三方网站Web_A,此时浏览器会自动带上 Web_A 的Cookie去访问 Web_A,从而拥有 User_C 在 Web_A 的权限,进而使用 User_A 的权限去执行恶意操作。 防御:Token、隐藏令牌 ...
分类:
其他好文 时间:
2019-08-28 23:56:53
阅读次数:
176
