javascript
横云断岭
在国内大型互联网公司负责6K+应用,80K+机器的Spring Boot微服务技术落地,关注开发体验,微服务,APM,应用诊断,dubbo开源。
Github: https://github.com/hengyunabc
展开
-
有意思的游戏:Google XSS Game
Google最近出了一个XSS的游戏:https://xss-game.appspot.com/我这个菜鸟看提示,花了两三个小时才全过了。。这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口?是这样子实现的:题目页面加载了这个js,改写了alert函数,当alert被调原创 2014-05-31 17:34:38 · 5431 阅读 · 0 评论 -
Cookie & Session & CSRF
新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/在线幻灯片地址: Cookie & Session & CSRF原创 2015-03-09 19:42:52 · 2615 阅读 · 0 评论 -
防止页面被iframe恶意嵌套
新blog地址:http://hengyunabc.github.io/prevent-iframe-stealing/缘起在看资料时,看到这样的防止iframe嵌套的代码:try { if (window.top != window.self) { var ref = document.referer; if (ref.substring(0, 2) ===原创 2015-03-09 19:40:21 · 11287 阅读 · 2 评论 -
扯谈web安全之JSON
前言JSON(JavaScript Object Notation),可以说是事实的浏览器,服务器交换数据的标准了。目测其它的格式如XML,或者其它自定义的格式会越来越少。为什么JSON这么流行?和JavaScript无缝对接是一个原因。还有一个重要原因是可以比较轻松的实现跨域。如果是XML,或者其它专有格式,则很难实现跨域,要通过flash之类来实现。任何一种数据格式,如原创 2014-05-29 21:03:53 · 30424 阅读 · 3 评论