成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

前端培訓(xùn)-初級(jí)階段 - xss相關(guān)(2019-04-18)

VioletJack / 2561人閱讀

摘要:前端最基礎(chǔ)的就是。但是如果是盜竊,異常提交請(qǐng)求,這些就屬于危險(xiǎn)操作。可以用來(lái)偽裝成其他用戶操作,有可能就會(huì)造成財(cái)產(chǎn)上的損失。劫持有的時(shí)候運(yùn)營(yíng)商的劫持還是沒(méi)辦法。

前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,打牢基礎(chǔ)知識(shí)的中心思想,我們開(kāi)課啦(每周四)。

這塊內(nèi)容是在會(huì)后又加了一節(jié)(老板說(shuō)要處理這塊內(nèi)容)。之前其實(shí)就做過(guò)一期這樣的內(nèi)容XSS_跨站腳本攻擊

我們要講什么?

xss 是什么?

攻擊原理是什么?

危害

預(yù)防手段是什么?

web 安全還有什么是需要注意的

XSS 是什么?

XSS 攻擊全稱跨站腳本攻擊 (Cross Site Scripting),是為不和層疊樣式表 (Cascading Style Sheets, CSS) 的縮寫混淆,故將跨站腳本攻擊縮寫為 XSS,XSS 是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞,它允許惡意 web 用戶將代碼植入到提供給其它用戶使用的頁(yè)面中。

XSS 攻擊原理

惡意攻擊者往 Web 頁(yè)面里插入惡意 javascript 代碼。當(dāng)其他用戶瀏覽該頁(yè)面時(shí),嵌入的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。

XSS 危害

常見(jiàn)于一些私人的博客,攻擊者惡意評(píng)論,彈出alert,這種充其量也就是一個(gè)玩笑。
但是如果是盜竊cookie,異常提交請(qǐng)求,這些就屬于危險(xiǎn)操作。cookie可以用來(lái)偽裝成其他用戶操作,有可能就會(huì)造成財(cái)產(chǎn)上的損失。

預(yù)防手段

首先我們來(lái)分析他攻擊方式,在其他用戶端執(zhí)行了一段異常代碼,那么我們不執(zhí)行不就好了嗎?

富文本情況,這個(gè)可屬于重災(zāi)區(qū),因?yàn)槟悴淮_定內(nèi)容是什么,你還要原樣輸出。業(yè)界方案一般來(lái)說(shuō)是白名單,比如說(shuō) 等,故意破壞數(shù)據(jù)的。

toURL,這個(gè)就是判斷存在不存在javascript:alert();的情況了。

頁(yè)面 innerHTML 或者 write。這個(gè)怎么說(shuō)呢,Vue 或者一些框架是沒(méi)問(wèn)題的,因?yàn)樗麄兪遣宀鄯ǎ皇瞧唇臃ā?/p>

toHtml,主要用于 jquery ,處理一些字符變成實(shí)體編碼

toURL,也是用來(lái)判斷javascript:alert();的情況

web 安全問(wèn)題

XSS、CSRF、arp、xff、中間人攻擊、運(yùn)營(yíng)商劫持、防暴刷

CSRF 一般來(lái)說(shuō)就是頁(yè)面直出一個(gè)token,每次請(qǐng)求都帶上token。

劫持 https有的時(shí)候運(yùn)營(yíng)商的劫持還是沒(méi)辦法。

刷,這個(gè)略坑。

參考代碼

參考文獻(xiàn)以及資料

Web安全學(xué)習(xí)筆記
也是當(dāng)初在網(wǎng)上找資料發(fā)現(xiàn)的。介紹的挺全面的。

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/109390.html

相關(guān)文章

  • 前端培訓(xùn)-初級(jí)階段(13) - 正則表達(dá)式

    摘要:前端培訓(xùn)初級(jí)階段語(yǔ)法變量值類型運(yùn)算符語(yǔ)句前端培訓(xùn)初級(jí)階段內(nèi)置對(duì)象函數(shù)前端培訓(xùn)初級(jí)階段類模塊繼承基礎(chǔ)內(nèi)容知識(shí)我們會(huì)用到。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,打牢基礎(chǔ)知識(shí)的中心思想,我們開(kāi)課啦(每周四)。 該文為前端培訓(xùn)-初級(jí)階段(1...

    suemi 評(píng)論0 收藏0

  • 前端培訓(xùn)-中級(jí)階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對(duì)應(yīng),是標(biāo)簽的屬性。獲取匹配元素相對(duì)父元素的偏移。返回的對(duì)象包含兩個(gè)整型屬性和。一組包含作為動(dòng)畫屬性和終值的樣式屬性和及其值的集合動(dòng)畫的額外選項(xiàng)。指示是否在效果隊(duì)列中放置動(dòng)畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    everfly 評(píng)論0 收藏0

  • 前端培訓(xùn)-中級(jí)階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對(duì)應(yīng),是標(biāo)簽的屬性。獲取匹配元素相對(duì)父元素的偏移。返回的對(duì)象包含兩個(gè)整型屬性和。一組包含作為動(dòng)畫屬性和終值的樣式屬性和及其值的集合動(dòng)畫的額外選項(xiàng)。指示是否在效果隊(duì)列中放置動(dòng)畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    james 評(píng)論0 收藏0

  • 前端培訓(xùn)-中級(jí)階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對(duì)應(yīng),是標(biāo)簽的屬性。獲取匹配元素相對(duì)父元素的偏移。返回的對(duì)象包含兩個(gè)整型屬性和。一組包含作為動(dòng)畫屬性和終值的樣式屬性和及其值的集合動(dòng)畫的額外選項(xiàng)。指示是否在效果隊(duì)列中放置動(dòng)畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    bang590 評(píng)論0 收藏0

  • XSS分析及預(yù)防

    摘要:分析及預(yù)防,又稱跨站腳本,的重點(diǎn)不在于跨站點(diǎn),而是在于腳本的執(zhí)行。在這里需要強(qiáng)調(diào)一點(diǎn)的是,默認(rèn)會(huì)禁止代碼塊的執(zhí)行禁止內(nèi)聯(lián)事件處理函數(shù)禁止內(nèi)聯(lián)樣式禁止和。 XSS分析及預(yù)防 XSS(Cross Site Scripting),又稱跨站腳本,XSS的重點(diǎn)不在于跨站點(diǎn),而是在于腳本的執(zhí)行。在WEB前端應(yīng)用日益發(fā)展的今天,XSS漏洞尤其容易被開(kāi)發(fā)人員忽視,最終可能造成對(duì)個(gè)人信息的泄漏。如今,...

    smartlion 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<