成人无码视频,亚洲精品久久久久av无码,午夜精品久久久久久毛片,亚洲 中文字幕 日韩 无码

資訊專欄INFORMATION COLUMN

前端培訓-初級階段 - xss相關(guān)(2019-04-18)

VioletJack / 2644人閱讀

摘要:前端最基礎(chǔ)的就是。但是如果是盜竊,異常提交請求,這些就屬于危險操作。可以用來偽裝成其他用戶操作,有可能就會造成財產(chǎn)上的損失。劫持有的時候運營商的劫持還是沒辦法。

前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開發(fā)的定義已經(jīng)遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,打牢基礎(chǔ)知識的中心思想,我們開課啦(每周四)。

這塊內(nèi)容是在會后又加了一節(jié)(老板說要處理這塊內(nèi)容)。之前其實就做過一期這樣的內(nèi)容XSS_跨站腳本攻擊

我們要講什么?

xss 是什么?

攻擊原理是什么?

危害

預防手段是什么?

web 安全還有什么是需要注意的

XSS 是什么?

XSS 攻擊全稱跨站腳本攻擊 (Cross Site Scripting),是為不和層疊樣式表 (Cascading Style Sheets, CSS) 的縮寫混淆,故將跨站腳本攻擊縮寫為 XSS,XSS 是一種在web應(yīng)用中的計算機安全漏洞,它允許惡意 web 用戶將代碼植入到提供給其它用戶使用的頁面中。

XSS 攻擊原理

惡意攻擊者往 Web 頁面里插入惡意 javascript 代碼。當其他用戶瀏覽該頁面時,嵌入的代碼會被執(zhí)行,從而達到惡意攻擊用戶的目的。

XSS 危害

常見于一些私人的博客,攻擊者惡意評論,彈出alert,這種充其量也就是一個玩笑。
但是如果是盜竊cookie,異常提交請求,這些就屬于危險操作。cookie可以用來偽裝成其他用戶操作,有可能就會造成財產(chǎn)上的損失。

預防手段

首先我們來分析他攻擊方式,在其他用戶端執(zhí)行了一段異常代碼,那么我們不執(zhí)行不就好了嗎?

富文本情況,這個可屬于重災區(qū),因為你不確定內(nèi)容是什么,你還要原樣輸出。業(yè)界方案一般來說是白名單,比如說 等,故意破壞數(shù)據(jù)的。

toURL,這個就是判斷存在不存在javascript:alert();的情況了。

頁面 innerHTML 或者 write。這個怎么說呢,Vue 或者一些框架是沒問題的,因為他們是插槽法,而不是拼接法。

toHtml,主要用于 jquery ,處理一些字符變成實體編碼

toURL,也是用來判斷javascript:alert();的情況

web 安全問題

XSS、CSRF、arp、xff、中間人攻擊、運營商劫持、防暴刷

CSRF 一般來說就是頁面直出一個token,每次請求都帶上token。

劫持 https有的時候運營商的劫持還是沒辦法。

刷,這個略坑。

參考代碼

參考文獻以及資料

Web安全學習筆記
也是當初在網(wǎng)上找資料發(fā)現(xiàn)的。介紹的挺全面的。

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/109390.html

相關(guān)文章

  • 前端培訓-初級階段(13) - 正則表達式

    摘要:前端培訓初級階段語法變量值類型運算符語句前端培訓初級階段內(nèi)置對象函數(shù)前端培訓初級階段類模塊繼承基礎(chǔ)內(nèi)容知識我們會用到。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開發(fā)的定義已經(jīng)遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,打牢基礎(chǔ)知識的中心思想,我們開課啦(每周四)。 該文為前端培訓-初級階段(1...

    suemi 評論0 收藏0

  • 前端培訓-中級階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對應(yīng),是標簽的屬性。獲取匹配元素相對父元素的偏移。返回的對象包含兩個整型屬性和。一組包含作為動畫屬性和終值的樣式屬性和及其值的集合動畫的額外選項。指示是否在效果隊列中放置動畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開發(fā)的定義已經(jīng)遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    everfly 評論0 收藏0

  • 前端培訓-中級階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對應(yīng),是標簽的屬性。獲取匹配元素相對父元素的偏移。返回的對象包含兩個整型屬性和。一組包含作為動畫屬性和終值的樣式屬性和及其值的集合動畫的額外選項。指示是否在效果隊列中放置動畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開發(fā)的定義已經(jīng)遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    james 評論0 收藏0

  • 前端培訓-中級階段(8)- jQuery元素屬性樣式操作(2019-08-01期)

    摘要:前端最基礎(chǔ)的就是。對應(yīng),是標簽的屬性。獲取匹配元素相對父元素的偏移。返回的對象包含兩個整型屬性和。一組包含作為動畫屬性和終值的樣式屬性和及其值的集合動畫的額外選項。指示是否在效果隊列中放置動畫。 前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門,但也僅僅是入門,現(xiàn)在前端開發(fā)的定義已經(jīng)遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術(shù)水平,...

    bang590 評論0 收藏0

  • XSS分析及預防

    摘要:分析及預防,又稱跨站腳本,的重點不在于跨站點,而是在于腳本的執(zhí)行。在這里需要強調(diào)一點的是,默認會禁止代碼塊的執(zhí)行禁止內(nèi)聯(lián)事件處理函數(shù)禁止內(nèi)聯(lián)樣式禁止和。 XSS分析及預防 XSS(Cross Site Scripting),又稱跨站腳本,XSS的重點不在于跨站點,而是在于腳本的執(zhí)行。在WEB前端應(yīng)用日益發(fā)展的今天,XSS漏洞尤其容易被開發(fā)人員忽視,最終可能造成對個人信息的泄漏。如今,...

    smartlion 評論0 收藏0

發(fā)表評論

0條評論

VioletJack

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<