CSRF攻擊的示例講解
文章不易,請關注公眾號 毛毛蟲的小小蠟筆,多多支持,謝謝。 CSRF簡介 Cross-site request forgery,跨站請求偽造,通常縮寫為CSRF或者XSRF。 CSRF之get請求攻擊 發起get請求攻擊比較簡單,只需要通過img標籤就可實現。 因為受瀏覽器同源策略限制,因此不能通過ajax來發起get請求。 Demo驗證 代碼: // 這段代碼是網站B的頁面,只是發起了網站A的請
simonbaker 日志
动态
列表
window.name和postMessage跨域詳解
文章不易,請關注公眾號 毛毛蟲的小小蠟筆,多多支持,謝謝。 概念 window.name 1、在一個窗口還沒關閉之前,同一個窗口的所有頁面都共享同一個window.name。 這個窗口可理解為chrome瀏覽器的一個tab標籤頁面。另外,從一個頁面中跳轉到另一個頁面後,這些頁面都共享同一個window.name。 2、每個頁面都能讀和寫window.name。 這個可能就是安全問題的來源。 3、w
不同tab頁的數據如何保持一致?
背景 後端同事提了個問題: 當打開實例詳情頁面後,再打開一個tab頁面,然後再訪問實例詳情頁面。如果這時候在某一個tab頁面切換到不同實例了,然後去到另一個tab頁面進行實例的操作,比如升級或者停止。會誤以為當前操作的是同一個實例。但很明顯兩個tab頁的實例是不一樣的,這樣很容易出現誤操作。 所以就想要保持不同tab頁的數據統一。也就是在tab頁面切換實例後,其他tab頁也要跟着切換到該實例。 解
XSS和CSRF防禦的經典策略
XSS防禦 1、頁面端防禦 頁面端的XSS防禦的方法,主要是針對輸入和輸出。 一般是在輸入的時候進行校驗,輸出的時候進行轉義。 輸入端的校驗: 所有能輸入的數據,都要列為不可信的數據。在邏輯處理或者存儲之前,都要進行校驗。 校驗的規則儘可能採用白名單而不是黑名單,比如只允許哪些字符,其他字符則一律不通過。 輸出端的轉義: 主要是對準備輸出到html的字符進行轉義。特別是用了v-html的地方。 這
再談XSS攻擊的例子
舉個例子 Demo1 - 你好 在瀏覽器輸入:http://testxss.com/xss/demo1.html?search=你好 頁面效果如下所示: demo1.html的代碼如下所示: head meta charset="utf-8" meta name="viewport" content="width=device-width, initial-scale=1.0" /
防禦XSS攻擊:DOMPurify不可或缺
DOMPurify是什麼? DOMPurify是一個針對DOM的XSS清理器。 DOMPurify有什麼作用? DOMPurify可以清理HTML並防止XSS攻擊。 你可以用有惡意代碼的HTML字符串來測試DOMPurify,它將返回一個帶有乾淨的HTML字符串。 DOMPurify將去除所有包含危險HTML的內容,從而防止XSS攻擊。 怎麼使用DOMPurify? // 通過script引入sc
你知道async await的缺陷嗎?
文章不易,請關注公眾號 毛毛蟲的小小蠟筆,多多支持,謝謝。 缺陷 使用async和await後,我們的代碼看起來是同步的。這個就是它的優點。 await會阻塞後面的代碼,直到promise完成。但這會可能出現因為大量的await,導致promise變慢。 因為每個await都會等待前一個完成才執行,但使用promise雖然代碼看起來不是同步的,但請求卻是異步的,不會被阻塞。 Demo 比如下面截圖
svg圖標引發的思考:想晉升高級?這些得了解。
問題背景: 我在優化整理項目代碼的時候,發現項目中有通過svg-icon name="xxx"/svg-icon方式引用的svg圖標,也有通過iconfonti class="iconfont xxx"/i引用的圖標。 然後當好幾個項目改造為對接微前端的時候,發現有些樣式衝突了(千萬不要小看樣式問題(看似簡單的問題),往往背後藏着不少值得深挖的學問) 復現步驟: 先在微前端中打開A項目,圖標顏色是