前端安全
关注
分享
扫一扫
文章平均质量分 88
YF-SOD
LDSBAH,NAB!
展开
-
html标签中crossOrigin、integrity属性详解、SRI、HSTS
在canvas中使用drawImage()绘制图像时,若传入未声明属性的跨源元素,会使canvas变成污染状态(tainted),此时任何读取canvas数据的操作,如toBlob()等,均会抛出错误(可理解为在。原创 2022-07-27 17:24:04 · 2036 阅读 · 0 评论 -
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;原创 2021-11-10 23:29:06 · 12176 阅读 · 1 评论 -
前端安全-内容安全策略CSP(Content Security Policy)
可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本、图片、iframe、style等等可能的远程的资源)。Content-Security-Policy-Report-Only表示不会限制加载的内容,只是对加载内容不符合策略要求的进行上报,通过HTTP 请求发送到指定URI。可以把指令理解为属性,指令值理解为属性对应的值,一个属性可对应多个值,多值之间以空格分割,属性之间以分号分割。策略集由指令、空格、指令值、分号组成,不同的指令值之间以空格分割,不同指令之间以分号(原创 2023-03-20 21:55:56 · 3076 阅读 · 1 评论 -
CSRF详解(跨站请求攻击原理、实例、检测方法、如何防御CSRF的4种方式和各自缺点(提交验证码、验证HTTP Referer字段、请求地址中添加token和在HTTP头中自定义属性))
目录简介原理实例CSRF漏洞检测防御CSRF提交验证码验证 HTTP Referer 字段缺点请求地址添加 token 验证缺点在 HTTP 头中自定义属性并验证缺点简介跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意...原创 2022-01-30 11:46:44 · 2570 阅读 · 0 评论 -
XSS(简介、原理、攻击类别(反射、存储、DOM型)、防范方式及原则、攻击举例及防范举例、XSS练习题及答案、XSS深入)
目录简介原理XSS攻击类别反射型(非持久型跨站)存储型(持久型跨站)DOM跨站(DOM XSS)防御方式防范XSS漏洞原则XSS攻击举例及防范举例XSS练习题部分答案XSS深入简介叫跨站脚本攻击(Cross Site Scripting)为区分css改名为XSS,具体指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、原创 2021-09-17 23:14:48 · 2377 阅读 · 0 评论