安全的类型检测

最新推荐文章于 2022-06-22 19:41:16 发布
最新推荐文章于 2022-06-22 19:41:16 发布
阅读量283 收藏
点赞数

JavaScript内置的类型检测机制并非完全可靠。事实上,发生错误否定及错误肯定的情况也不在少数。比如说 typeof 操作符吧,由于它有一些无法预知的行为,经常会导致检测数据类型时得到不靠谱的结果。(如typeof检测一个不存在的变会返回undefined)


再比如, instanceof 操作符在存在多个全局作用域(像一个页面包含多个框架)的情况下,也是问题多多。


var isArray = value instanceof Array;


以上代码要返回 true , value 必须是一个数组,而且还必须与 Array 构造函数在同个全局作用域中。(别忘了, Array 是 window 的属性。)如果 value 是在另个框架中定义的数组,那么以上代码就会返回 false 。


解决上述问题的办法都一样。大家知道,在任何值上调用 Object 原生的 toString()方法,都会返回一个 [object  NativeConstructorName] 格式的字符串。每个类在内部都有一个 [[Class]] 属性,这个属性中就指定了上述字符串中的构造函数名。举个例子吧。


alert(Object.prototype.toString.call(value)); //”[object Array]”


由于原生数组的构造函数名与全局作用域无关,因此使用 toString() 就能保证返回一致的值。利用这一点,可以创建如下函数:


function isArray(value){

    return Object.prototype.toString.call(value) == ”[object Array]”;

}


同样,也可以基于这一思路来测试某个值是不是原生函数或正则表达式:


function isFunction(value){

    return Object.prototype.toString.call(value) == ”[object Function]”;

}

function isRegExp(value){

    return Object.prototype.toString.call(value) == ”[object RegExp]”;

}


Object 的 toString() 方法不能检测非原生构造函数的构造函数名。因此,开发人员定义的任何构造函数都将返回[objectObject]。有些JavaScript库会包含与下面类似的代码。


var isNativeJSON = window.JSON && Object.prototype.toString.call(JSON) ==

“[object JSON]”;


在Web开发中能够区分原生与非原生JavaScript对象非常重要。只有这样才能确切知道某个对象到底有哪些功能。这个技巧可以对任何对象给出正确的结论。


文摘资讯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.net底层类型安全概述书,英文
03-09
类型,程序集可见性及其实现原理 c#绕过类型可见性检查方法等
安全测试入门基础大全。。费了大功夫整理(超级全面)
软件测试技术交流分享
05-22 1460
随着互联网的发展,安全问题变得越来越重要。一个大型的互联网站点,如果每天查看日志,会发现有很多试图攻击的脚本。如果不是,证明网站的影响力不够大。信息集成背后隐藏着安全隐患。比如为Web应用编写的代码,由于开发人员的不严谨,质量堪忧,很可能被第三方恶意利用,使得未经授权的访问可以获得对敏感数据和Web服务器的控制。
超全的安全测试汇总
weixin_44602565的博客
03-10 9653
1.安全测试在做什么? 扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。 2.安全测试者是怎样定位自己的? 我们经常可以从身边的朋友口中听到一些有关安全的名称,向
软件测试类型-安全测试
weixin_44773193的博客
03-13 767
一、安全测试 1、定义: 对软件产品进行测试以确保其符合产品安全需求和质量标准。 二、渗透测试 1、定义: 通过模拟对软件系统的恶意攻击行为来评估系统安全性的一种测试。 三、渗透测试VS安全测试的区别: 渗透测试的着重点在攻击,渗透测试的目的是攻破软件系统,以证明系统存在问题。而安全测试的着重点在防御,对系统的防御功能做系统的考虑和验证。 渗透测试只需要选择一些系统中薄弱的点攻击系统,而...
安全测试主要类型
小太阳~
01-26 9887
本篇博文主要介绍安全测试的主要类型,及其最基本的概念,不涉及到每一安全类型的详细内容,每一类型的详细内容将在后续的博文中分开详细讲解。 安全测试类型表格 如下: 类型 简单描述 失效的身份验证机制 只对首次传递的Cookie加以验证,程序没有持续对Cookie中内含信息验证比对,攻击者可以修改Cookie中的重要信息以提升权限进行网站数据存取或是冒用他人账号取得个人私密资料(测试对象:
WEB安全测试的类型
weixin_30896825的博客
04-09 143
1.跨站脚本(XSS)  XSS又叫CSS(CROSS SET SCRIPT),跨站脚本攻击。它指的是恶意攻击者往WEB页面里插入恶意的html代码,当用户浏览该页面时,嵌入其中的html代码会被执行,从而达到恶意用户的特殊目的;(钓鱼、盗取cookie、操纵受害者的浏览器、蠕虫攻击) 2.反射型跨站(Reflected XSS)  服务器端获取http请求中的参数,未经过滤直接输出到客户端。如...
wifi密码安全检测
12-08
用于WIFI密码安全检测,请勿做它用,小心蹭了别人家网找你麻烦,需要有支持的无线网卡芯片类型
JPA2.0中的动态类型安全查询
02-27
持久化域的元模型编写类型安全的查询高级特性结束语参考资料如果编译器能够对查询执行语法正确性检查,那么对于Java对象而言该查询就是类型安全的。Java:trade_mark:PersistenceAPI(JPA)的2.0版本引入了CriteriaAPI...
信息安全技术:绕过服务端MIME类型检测上传.pptx
11-01
信息安全技术基础
WEB安全测试分类及防范测试方法.docx
12-18
WEB安全测试分类及防范测试方法 1 Web 应用程序布署环境测试 2 1.1HTTP 请求引发漏洞的测试 2 1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2 表单漏洞测试 6 2.2.1 表单漏洞实现原理 6 2.2.2 表单漏洞防范措施 6 2.2.3 表单漏洞检测方法 6 2.3 Cookie欺骗漏洞测试 8 2.3.1 Cookie欺骗实现原理 8 2.3.2 Cookie欺骗防范措施 8 2.3.3 Cookie欺骗监测方法 9 2.4 用户身份验证测试 9 2.4.1 用户身份验证漏洞防范措施 9 2.4.2 用户身份验证检测方法 9 2.5 文件操作漏洞测试 9 2.5.1 文件操作漏洞实现原理 9 2.5.2 文件操作漏洞防范措施 10 2.5.3 文件操作漏洞检测方法 10 2.6 Session 测试 11 2.6.1 客户端对服务器端的欺骗攻击 11 2.6.2直接对服务器端的欺骗攻击 11 2.6.3 Session漏洞检测方法 12 2.7 跨网站脚本(XSS)漏洞测试 13 2.7.1 跨网站脚本(XSS)漏洞实现原理 13 2.7.2 跨网站脚本(XSS)漏洞防范措施 13 2.7.3 跨网站脚本(XSS)漏洞测试方法 14 2.8 命令注射漏洞测试 14 2.9 日志文件测试 14 2.10 访问控制策略测试 14 2.10.1 访问控制策略测试方法 14 3 数据库问题测试 15 3.1 数据库名称和存放位置安全检测 15 3.2 数据库本身的安全检测 15 3.3 数据使用时的一致性和完整性测试 15 4 容错测试 15 4.1 容错方案及方案一致性测试 16 4.2 接口容错测试 16 4.3 压力测试 16
安全测试类型和测试方法
XTY00的博客
05-07 935
https://www.cnblogs.com/rd-ddddd/p/7718206.html
安全开发-常用的测试类型
Coisini的博客
05-27 467
WEB安全测试要点总结
热门推荐
mathlpz126的博客
10-23 2万+
一、大类检查点: 大类 细项 上传功能 绕过文件上传检查功能 上传文件大小和次数限制 注册功能 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录功能
JavaScript安全类型检测
海阔山遥,未知何处是潇湘。
05-14 1358
在JavaScript中,内置的类型检测机制并非是完全可靠的。这里分别指的typeof和instanceof关键字。         由于typeof有一些无法预知的行为,经常会导致检测数据类型时得到不靠谱的结果,Safari在对正则表达式应用typeof时会返回“function”,在chrome下回返回“object”。         instanceof存在过个全局作用域的情况下(指的
javascript安全类型检测(判断是否是原生对象)
景洪的博客
09-29 530
typeof的小”bug”;提到类型检测大家首先应该会想到typeof 操作符,现在复习一下她的用法,对于一个值使用typeof会得到以下结果: “undefined”,”boolean”,”string”,”number”,”object”,”function”; 但是,有个bug是,当值为正则表达式的时候,结果为”function”; instanceof的弊端:value inst
安全测试入门介绍
MXB1220的博客
06-22 2733
目录1、安全测试定义2、安全测试目的3、安全测试与常规测试区别4、安全测试类型5、安全测试工具 安全测试是建立在功能测试基础上进行的测试,安全测试提供证据表明,在面对恶意攻击时,应用仍能充分满足它的需求,主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程 提升产品安全质量尽量在发布前找到安全问题予以修补降低风险度量安全等级验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵 1.跨站脚本(XSS)   XSS 又叫 CSS(CROSS SET SCRIPT),跨站脚本攻
在vscode中启动npm run dev--报错原因:invalid“instanceof”keyword value Promise
Dreamer_Ji的博客
07-17 852
在vscode中启动npm run dev–报错原因:invalid“instanceof”keyword value Promise 小白由于自己的失误把原本一开始可以运行的结果自己也搞不行了,东找西找找不到解决办法,最终原来是版本错了!!!!! 遇到此问题的小伙伴!!不要着急!! 1.先查看package.json,输入命令把之前webpack和webpack-dev-server给卸载掉。 cnpm uninstall webpack cnpm uninstall webpack-cli(因为我这里
编译时类型检查与运行时类型检查
LJH_Gemini的博客
11-07 3141
编译时 编译时顾名思义就是正在编译的时候.那啥叫编译呢?就是编译器帮你把源代码翻译成机器能识别的代码.(当然只是一般意义上这么说,实际上可能只是翻译成某个中间状态的语言.比如Java只有JVM识别的字节码,C#中只有CLR能识别的MSIL.另外还有啥链接器.汇编器.为了了便于理解我们可以统称为编译器) 那编译时就是简单的作一些翻译工作,比如检查老兄你有没有粗心写错啥关键字了啊.有啥词法分析,语...
网络安全资产设备类型xlsx
最新发布
01-03
网络安全资产设备类型xlsx文件是一份包含各种网络安全设备类型的文档,通常包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、反病毒软件、安全信息与事件管理系统(SIEM)、虚拟专用网络(VPN)、安全网关等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值