关闭

Cookie & Session & CSRF

新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/在线幻灯片地址: Cookie & Session & CSRF...
阅读(2156) 评论(0)

防止页面被iframe恶意嵌套

新blog地址:http://hengyunabc.github.io/prevent-iframe-stealing/缘起在看资料时,看到这样的防止iframe嵌套的代码:try { if (window.top != window.self) { var ref = document.referer; if (ref.substring(0, 2) ===...
阅读(5970) 评论(2)

有意思的游戏:Google XSS Game

Google最近出了一个XSS的游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。 题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口? 是这样子实现的: 题目页面加载了这个js,改写了alert函数,当alert被调...
阅读(3468) 评论(0)

扯谈web安全之JSON

前言 JSON(JavaScript Object Notation),可以说是事实的浏览器,服务器交换数据的标准了。目测其它的格式如XML,或者其它自定义的格式会越来越少。 为什么JSON这么流行? 和JavaScript无缝对接是一个原因。 还有一个重要原因是可以比较轻松的实现跨域。如果是XML,或者其它专有格式,则很难实现跨域,要通过flash之类来实现。 任何一种数据格式,如...
阅读(21417) 评论(2)
    个人资料
    • 访问:1697140次
    • 积分:11689
    • 等级:
    • 排名:第1444名
    • 原创:129篇
    • 转载:29篇
    • 译文:2篇
    • 评论:349条
    博客专栏
    文章分类
    最新评论