【ajax跨域攻击实例】腾讯微博跨域漏洞--by wqisen
来源:互联网 发布:巴宝莉香水男士知乎 编辑:程序博客网 时间:2024/04/30 04:28
由于ajax技术禁止跨域访问,因此,受到同源策略影响,不同域名不能进行ajax请求。但是,开发人员有时候又需要这样做,于是,出于方便的需要,他们很有可能通过document.domain="a.com"将网站的域设置后,这样,该网站的子域名就可以跨域请求,但是,这样,造成的安全漏洞提供了跨域攻击的可能。
根据窗口引用的同源策略,可以做出跨域脚本注入的实验如下:
在自己的腾讯微博发出一条连接如下:http://www.qq.com。由于开发人员设置document.domain="qq.com",因此,在这个t腾讯首页页中可以对微博页面进行脚本注入。在这个页面上运行javascript代码:window.opener.alert(“你是SB”);可以看到腾讯微博页面有弹框出现。
0 0
- 【ajax跨域攻击实例】腾讯微博跨域漏洞--by wqisen
- XSS攻击/AJAX跨域攻击
- ajax跨域实例
- $.ajax跨域实例
- Z-blog跨站脚本攻击漏洞
- Z-blog跨站脚本攻击漏洞
- 360 跨站脚本攻击漏洞
- 跨站脚本攻击漏洞(XSS)
- XSS(跨站脚本攻击)漏洞解决方案
- ewebeditor漏洞,ewebeditor漏洞攻击
- 腾讯微博Android客户端实例开发教程by若水
- WPA2(wifi) 漏洞和攻击脚本 Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
- ajax跨域访问实例
- ajax跨域请求实例
- Ajax Jsonp 跨域实例
- CGI漏洞攻击手册
- DNS漏洞攻击代码
- SQL注入漏洞攻击
- 监测主机单板cpu 内存
- oracle,分组后,字符串以“,”合并
- Mysql事件学习
- 如何打造又快又好的PPT (二)
- c# XML序列化与反序列化
- 【ajax跨域攻击实例】腾讯微博跨域漏洞--by wqisen
- 开发工具
- [应用模板]HTML5+Phonegap通讯录
- 程序员相亲
- 不会NDK写不出好的Android App
- .NET实现MySQL访问接口
- Framebuffer 机制
- 报错:Undefined symbols for architecture i386 "_deflate"
- ****GitHub上最火的40个Android开源项目