《web前端黑客技术揭密》阅读笔记step1
来源:互联网 发布:时代精神 知乎 编辑:程序博客网 时间:2024/06/05 15:47
1.SQL注入 服务器端,泄漏数据
2.XSS攻击 注入一段恶意指令,当用户 被诱骗点击 恶意构造 的连接,会执行该指令盗取Cookies会话信息到黑客网站,一般情况下可利用该Cookies登录被攻击者帐号。
相比XSS,CSRF 跨站请求伪造--通过伪装为站点的受信任用户提交表单来欺骗站点
同源策略:不同域的客户端脚本在没有明确授权下,不能读写对方资源
(例外:Access-Control-Origin:http://www.foo.com)
HTTP header:
referer: http://www.foo.com 从foo网站点击过来
Set-Cookie:
HttpOnly:标志,如设置了,Cookies存在于HTTP层面,不允许客户端脚本读取
Secure:仅能通过HTTPS传输Cookies
iframe:嵌入页面
若不同源,跨域只能写location不能读,保护身份认证token存在于URL,若同域,可通过contentWindow操作
document.cookie获取
CORS cross-origin resource sharing 跨域资源共享,通过Access-Control-Origin
Access-Control-Allow-Credentials:true 允许跨域证书发送(IE不支持)
两者加起来才能实现
- 《web前端黑客技术揭密》阅读笔记step1
- Web前端黑客技术揭秘 笔记1
- Web前端黑客技术揭秘 笔记2
- Web前端黑客技术揭秘 笔记3
- Web前端黑客技术揭秘 笔记4
- Web前端黑客技术揭秘 笔记5
- 《Web前端黑客技术揭秘》学习笔记-XSS
- Web前端黑客技术揭秘
- web前端黑客技术揭秘学习笔记-漏洞的产生因素
- web前端黑客技术揭秘学习笔记-CSRF漏洞挖掘
- web前端黑客技术揭秘学习笔记-XSS漏洞挖掘
- Web前端黑客技术揭秘试读样章
- 图书推荐:《Web前端黑客技术揭秘》
- Web前端--黑客技术揭秘(菜鸟知识)
- 《WEB前端黑客技术揭秘》基础知识(一)
- Web前端黑客技术揭秘 笔记3 余弦老师的渗透利器
- Web前端黑客技术②——挖掘XSS漏洞
- 关于WEB前端阅读书籍
- 黑马程序员:java单例模式
- [vi] 退出命令 :x 与 :wq
- 人生感悟
- 暴雪:免费转服会毁掉WOW 新机制消灭鬼服
- 支持向量机SVM(Support Vector Machine)算法初解
- 《web前端黑客技术揭密》阅读笔记step1
- dojox.charting和dojox.timing构造Dojo动态图表
- VC连接SQL SERVER数据库
- WebService 学习(3)
- smb 共享文件夹设置
- 怎样做好一个产品(产品经理须知)
- python 编码心得
- 使用 Scalable Performance Monitor 监控 和分析 solr的运行状况
- php header功能的使用