Firefox的getter和setter带来的安全隐患
来源:互联网 发布:office for mac怎么用 编辑:程序博客网 时间:2024/05/16 17:32
http://www.blogjava.net/emu/archive/2011/01/19/343192.html
firefox下的document不能随便用var document来覆盖,本来是一个挺好的权限保护机制,但是它对document的保护也就到此为止了。表面上看起来系统提供的document.domain、document.cookie等接口似乎不允许开发者随便修改,但是实际上呢:
document.__defineGetter__( "cookie",
function(){
return this.c;
}
);
document.__defineSetter__( "cookie",
function(sText){
this.c="HACK : "+sText;
}
);
document.__defineGetter__( "domain",
function(){
return this.d;
}
);
document.__defineSetter__( "domain",
function(sText){
this.d="HACK : "+sText;
}
);
document.cookie="fake cookie";
alert(document.cookie)
document.domain="fake domain"
alert(document.domain)
document实际上已经成了一个傀儡,随便开发者摆弄了。因此我们做基于document.domain和document.cookie的一些对第三方判断时候要小心。
document.__defineGetter__( "cookie",
function(){
return this.c;
}
);
document.__defineSetter__( "cookie",
function(sText){
this.c="HACK : "+sText;
}
);
document.__defineGetter__( "domain",
function(){
return this.d;
}
);
document.__defineSetter__( "domain",
function(sText){
this.d="HACK : "+sText;
}
);
document.cookie="fake cookie";
alert(document.cookie)
document.domain="fake domain"
alert(document.domain)
document实际上已经成了一个傀儡,随便开发者摆弄了。因此我们做基于document.domain和document.cookie的一些对第三方判断时候要小心。
- Firefox的getter和setter带来的安全隐患
- Firefox的getter和setter带来的安全隐患
- lombok的@Getter和@Setter
- JS的getter和setter
- jQuery的getter和setter
- Getter / Setter 的滥用
- ES5的getter/setter
- Ruby里getter和setter的写法
- Socket类的getter和setter方法
- Struts2的getter()和setter()方法
- Objective-C的setter和getter
- Socket类的getter和setter方法
- Objective-C的setter和getter
- Objective-C的setter和getter
- Objective-C的setter和getter
- 关于JAVA的getter和setter问题
- OC的setter和getter笔记
- Objective-C的setter和getter
- 初学linq (1)
- RTSP协议
- winform利用委托实现窗体间传值
- 好像是第一次在公司外的论坛上公开演讲
- 实现显示效果(只要是自动适应宽度)同span并能传入后台的方法
- Firefox的getter和setter带来的安全隐患
- IE6上Gzip+Etag问题的解决方案
- Mysql workbench 首页的功能图
- 学习笔记16—交通灯管理系统
- _STDC _cdecl
- 用友BQ正式发布移动版 企业级BI同样可如此性感
- 天才图灵
- JAVA高级工程师知识树
- Oracle中的NULL
