![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
魔笛手CTO
人生看淡,不服就干
展开
-
浏览器同源策略
定义 不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源 关键词解读 不同域:同域要求两个站点同协议、同域名、同端口 客户端脚本:目前主要指JavaScript 授权:目前浏览器支持CORS来实现跨域授权,需要目标网站是否同意授权的响应头为Access-Control-Allow-Origin 读写:读写权限 资源:HTTP消息头、DOM树、C...原创 2019-06-09 18:26:29 · 197 阅读 · 0 评论 -
XSS与CSRF
XSS和CSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源 XSS(Cross Site Scripting):跨站脚本 虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS时发生在浏览器渲染HTML时执行了不被预期的脚本指令的一种安全漏洞。 XSS的主要类型: 反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到...原创 2019-06-10 12:09:08 · 1177 阅读 · 0 评论