Firefox的getter和setter带来的安全隐患

最新推荐文章于 2022-02-25 20:00:37 发布
最新推荐文章于 2022-02-25 20:00:37 发布
阅读量199 收藏
点赞数
文章标签: Firefox C C++ C# .net

http://www.blogjava.net/emu/archive/2011/01/19/343192.html

firefox下的document不能随便用var document来覆盖,本来是一个挺好的权限保护机制,但是它对document的保护也就到此为止了。表面上看起来系统提供的document.domain、document.cookie等接口似乎不允许开发者随便修改,但是实际上呢:
<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->

document.__defineGetter__( " cookie " ,
 function (){
 return this .c;
}
);
document.__defineSetter__( " cookie " ,
 function (sText){
 this .c = " HACK: " + sText;
}
);
document.__defineGetter__( " domain " ,
 function (){
 return this .d;
}
);
document.__defineSetter__( " domain " ,
 function (sText){
 this .d = " HACK: " + sText;
}
);
document.cookie = " fakecookie " ;
alert(document.cookie)
document.domain = " fakedomain "
alert(document.domain)


document实际上已经成了一个傀儡,随便开发者摆弄了。因此我们做基于document.domain和document.cookie的一些对第三方判断时候要小心。
iteye_19871
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Getter/Setter之深入浅出,对象属性监听
拾肆
03-08 2571
在我们实际项目中,有可能会遇到监听一个对象的属性变化(当然,全局变量可以看做window对象的属性)而执行某些操作。get/set分别对属性的获取/赋值进行监听斌并执行某些操作。对于cookie应该都不陌生,它执行document.cookie='a=1'的时候并不会覆盖原来的cookie,而是覆盖原来的a的值或则追加一个a。当然,这里cookie是不是通过getter/setter来实现的不做深究
IDEA设置生成带注释的gettersetter的图文教程
08-27
IDEA设置生成带注释的gettersetter的图文教程 本文将详细介绍如何在IDEA中设置生成带注释的gettersetter方法。通常,我们使用IDEA时,默认生成的gettersetter方法是不带注释的,但是,我们可以通过设置IDEA来...
数据对象安全校验(oval框架)
想飞的鱼
07-28 4253
很多时候我们都是忽略了对象数据的合法性,以为简单通过前台的js验证下是否正确就可以了,这后果比较让人但疼,下面举例个简单的例子,页面需要用户提交个简介,用户 这个时候可以写脚本在这个内容里,你说你在js有校验合法性,但是你要明白,现在的抓包工具是可以等你提交的时候,拦截住请求,然后通过编辑器修改了提交的值来绕过前台的js 验证,这样就造成了数据的不合法,所以如果数据安全要求高的,必须在
火狐下setting a property that has only a getter 的错误, 真是诡异...
敏而好学 —— Eric6的专栏
07-22 3964
刚刚遇到了个很诡异的问题,有一段看似没有错误的js代码硬是在火狐下会报个“setting a property that has only a getter”错误,而在其他浏览器下却可以正常运行,代码大概是这样的:
谈谈因Vue.js引发关于gettersetter的思考
10-20
本文将深入探讨Vue.js中gettersetter在实现数据双向绑定中的关键作用。 首先,我们要了解在JavaScript中,gettersetter是Object对象的方法,用于在访问或修改对象属性时执行自定义逻辑。getter用于获取属性值,...
IntelliJ IDEA快速创建gettersetter方法
08-19
IntelliJ IDEA 快速创建 gettersetter 方法 IntelliJ IDEA 是一个功能强大且流行的集成开发环境(Integrated Development Environment,IDE),它提供了许多实用的功能来帮助开发者快速开发和维护软件。其中,...
IDEA中 GetterSetter 注解不起作用的问题如何解决
08-24
然而,有时在使用Lombok库进行开发时,可能会遇到IDEA中的GetterSetter注解不起作用的问题。Lombok是一个能帮助开发者消除Java类中大量重复的gettersetter方法的库,通过注解的方式简化代码。当IDEA无法识别这些...
Javascript中的gettersetter初识
10-19
最近在工作中遇到了gettersettergetter 是一种获得属性值的方法,setter是一种设置属性值的方法。下面这篇文章主要给大家介绍了关于Javascript中gettersetter的相关资料,需要的朋友可以参考借鉴,下面来一起...
新手gettersetter指南
八戒的专栏
11-08 9943
原文地址:http://www.iphonedevsdk.com/forum/iphone-sdk-tutorials/7295-getters-setters-properties-newbie.html 假设有个MyClass类,里面定义了一个成员text。对它的读与写如下所示: //MyClass.h file @interface MyClass: NSObject { NS
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5471
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框中的内容时,其大小会自动进行调整。 注意Rect Transform中Pivot轴心点的设置
新唐NUC972 Linux(一):USB烧写linux出厂镜像
小破孩的博客
02-20 3099
USB烧写出厂镜像 文章目录USB烧写出厂镜像前言一、硬件连接二、安装驱动三、烧写linux程序四、运行程序 前言 今天开始进军linux,学了那么久单片机,也摸得七七八八,至少点个灯还是会的。本人之所以买酷客的linux开发板主要是便宜,资料也算齐全,虽然没有原子那么好,不过也够了,找那么多借口,其实就是qiong。今天先从USB烧录官方提供的linux相关程序到芯片开始吧。 一、硬件连接 1、连接电源线 2、RS232转USB,需要安装CH340驱动,用于在电脑串口超级终端中查看调试信息。 3、U
WeChall CTF Writeup(一)
weixin_43211186的博客
02-25 1266
以下题目标题组成: [Score] [Title] [Author] 文章目录0x01 1 Training: Get Sourced by Gizmore0x02 1 Training: Stegano I by Gizmore0x03 1 Training: Crypto - Caesar I by Gizmore0x04 1 Training: WWW-Robots by Gizmore0x05 1 Training: ASCII by Gizmore 0x01 1 Training: Get Sou
C语言每日一练——第126天:佩奇借书问题
热门推荐
Edison's 小宇宙
02-25 2万+
史上最强借书方案问题讲解(代码详解+思路分析+动图演示+特性总结)
CS5261与CS5265功能应用|CS5261替代RTD2171|CS5265替代RTD2172
qq1659747718的博客
02-25 1172
CS5261可以完全替代兼容停产RTD2171,CS5265可以完全替代兼容RTD2172,芯片单价低,整体方案设计简单,整体BOM成本较RTD2171、RTD2172低。
Hello Kafka(八)——Confluent Kafka简介
天山老妖
02-24 8756
一、Confluent Kafka简介 1、Confluent Kafka简介 2014年,Kafka的创始人Jay Kreps、NahaNarkhede和饶军离开LinkedIn创立Confluent公司,专注于提供基于Kafka的企业级流处理解决方案,并发布了Confluent Kafka。Confluent Kafka分为开源版和企业版,企业版收费。 2、Confluent Kafka特性 Confluent Kafka开源版特性如下: (1)Confluent Kafka Connecto
基于System Verilog的同步FIFO实现(一)
qq_40268672的博客
02-22 2967
FIFO,全称First In First Out,它是数字电路设计中一个重要的基本单元,它分为同步FIFO和异步FIFO,所谓同步FIFO,是指读写都是在同一个时钟的驱动下进行的,而异步FIFO读写操作的时钟是分离的,本文主要讲述同步FIFO的实现。 如图,是同步FIFO的一个示意图,它由clk,rst,wr_en,rd_en,full,empty,rdata,wdata等信号构成,其中,full,empty用于指示fifo的状态(空或满),wr_en,rd_en分别为写使能和读使能信号,在FIFO的设
【钉钉-场景化能力包】CRM系统促进广告平台高效获客
钉钉开发者社区
02-24 1787
服务型企业,公司内部往往存在获客成本高,投资回报率下降,营销难操作,跟进不及时,客户流失严重等问题,这些问题的存在直接关乎到客户体验感及企业的发展,这就需要一套基于CDP客户数据平台与CRM解决方案,可对接主流广告投放平台,完成客户全生命周期的跟进和管理。
oc gettersetter
最新发布
05-28
在Objective-C中,gettersetter是用来访问和修改对象属性的方法。它们可以手动编写,也可以使用@property关键字来自动生成。 getter方法用来获取属性的值,setter方法用来设置属性的值。默认情况下,如果你没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值