CSP实时获取报错

最新推荐文章于 2024-10-02 17:15:49 发布
最新推荐文章于 2024-10-02 17:15:49 发布
阅读量105 收藏
点赞数
文章标签: html javascript 前端 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiihuang/article/details/129778045
版权

使用CSP实时获取,另一个页面的报错信息

  • 跨域攻击JS脚本192.168.18.181

alert(1)

  • 192.168.18.141,被攻击页面

<?php
header("Content-Security-Policy:script-src 'self' ; report-uri http://192.168.18.141/sefa15/csp/csptake.php"); //发送错误报到指定url
?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <input type="button" value="点">
</body>
<script src="http://192.168.18.181/safe15/csp/cs.js"></script>
</html>

  • 192.168.18.141,接受错误报告处

<?php
$json_data = file_get_contents('php://input'); //使用伪协议取值
// echo $json_data;
$data=json_decode($json_data,true); //json转关联数组
// print_r($data);
date_default_timezone_set("Asia/Shanghai");
$time=date('Y-m-d H:i:s');
$blocked_uri=$data['csp-report']['blocked-uri'];
$document_uri=$data['csp-report']['document-uri'];
$original_policy=$data['csp-report']['original-policy'];
// echo $time,$blocked_uri,$document_uri,$document_uri,$original_policy;

include "../blog/dp.php";
$sql="insert into url(block,document,original,time) values('$blocked_uri','$document_uri','$original_policy','$time')";  //写入mysql表
$num=mysql_dml($sql);
if ($num!=1){
    die;
}

?>

  • mysql准备的表

create table url(
id int(10) primary key auto_increment,  #主键,自增长
block varchar(50),
document varchar(255),
original varchar(255),
time varchar(255)  
)character set=utf8mb4;

  • 192.168.18.141发送mysql数据的php

<?php
include "../blog/dp.php";
$sql="select * from url ;";
$num= dql_datail($sql);
echo json_encode($num);
?>

  • 192.168.18.141实时显示页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<script src="../base/jquery-3.4.1.min.js"></script>
<body>
    <table id="datas" border="1">
        <tr id="th">
            <td>id</td>
            <td>block</td>
            <td>document</td>
            <td>original</td>
            <td>time</td>
        </tr>
    </table>
</body>
<script>
    function take() {
    $.get('cspread.php',(data)=>{  //遍历获取值
        // alert(data)
        var dat=eval(data)
        // alert(dat)
        $('#th').nextAll().remove(); //移除id为th下面所有东西
        dat.forEach(da => {
            var con=`<tr>
                        <td>${da['id']}</td>
                        <td>${da['block']}</td>
                        <td>${da['document']}</td>
                        <td>${da['original']}</td>
                        <td>${da['time']}</td>
                    </tr>`
                    $('#datas').append(con);  //添加按照指定内容
        });
    })}
    setInterval(take,1000)  //每隔一秒执行
</script>
</html>

gg_Go_game
关注
Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树
LIHAO的博客
04-19 2728
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、Session: Web安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
前端xss攻击——规避innerHtml过滤标签节点及属性
热门推荐
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
ccf csp认证常见问题
qq_63902868的博客
08-28 134
我们以Java语言为例,添加类名时必须是以Main命名(注意大写)!
CSP内容安全策略基础版
知识点沉淀包括不限于前端
02-08 1220
白屏问题 小伙伴业务中经常会遇到白屏问题,其中一大原因是资源被CSP策略拦截了,那么什么是CSP呢?遇到了此问题要如何解决呢? 基础原理 什么是CSP? 内容安全策略 (CSP) 是一个策略,该策略可以定义哪些资源可以被当前的web页面加载。 为什么要配置CSPCSP 的主要目标是减少和报告 XSS (Cross Site Scripting)攻击 。一般同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等资源等还是可以加载。而XSS攻击则刚好
CSP内容安全策略
星落
11-06 1569
CSP内容安全策略
Common Spatial Pattern(CSP)共空间模式(包含Matlab代码)
qq_40166660的博客
03-25 5612
文章目录前言CSP算法补充 前言 共空间模式(Common Spatial Pattern, CSP)作为运动想象脑机接口的常用特征提取算法,相信很多接触过此领域的人都知道该算法,CSP的原理以及推导下面这篇博客做出了详细说明: 点此跳转 但是,在RCSP论文[1]中作者给出了不同与上面博客的定义形式,也有必要了解一下,以下为RCSP中对CSP算法的描述的翻译。 (PS:第一次翻译,仅供参考…) CSP算法 CSP的目标是学习空间滤波器,使得同一类带通滤波后的脑电信号方差最大化,同时使得其与另一类的方.
DVWA之CSP Bypass
ANDTM的博客
06-27 213
CSP(Content Security Policy):即内容安全策略。点击这里有详细的介绍。不过简单了解下就是指:开发者在开发过程中设置了一个类似于白名单的策略,要信任某个页面,哪些外部资源可以执行,哪些不可以,我们只需要配置规则,如何拦截由浏览器自己来实现。这可以从根本上防御XSS,如果CSP配置的好,可以从根本上杜绝XSS,相较于XSS漏洞,XSS更侧重于不能做哪些事,而CSP是只有哪些事可以做。
CSP——脉冲神经网络
Wu_L7的博客
05-29 1790
CSP——脉冲神经网络(AC)
sentinel 端口_Sentinel原理:控制台是如何获取实时数据的
weixin_39784195的博客
10-25 151
Sentinel 系列教程,现已上传到 github 和 gitee 中:GitHub:https://github.com/all4you/sentinel-tutorialGitee:https://gitee.com/all_4_you/sentinel-tutorialSentinel 能够被大家所认可,除了他自身的轻量级,高性能,可扩展之外,跟控制台的好用和易用也有着莫大的关系,因为通过...
CSP第二轮比赛注意事项
BobHuang的博客
10-22 1469
一、在哪里写代码 主办方(杭师大考点)已在 E 盘根目录下建立以考生准考证编号命名的文件夹,考生应检查该文件夹名称是否正确(包括编号及大小写字母),如有错误须立即上报监考人员,由监考人员进行更改。确认无误后,考生须为每道试题再单独建立一个子文件夹,子文件夹名与对应的试题英文名相同(参见试题封面页)。考生提交的每道试题的源程序必须分别存放在相应的子文件夹下。 这里以(NOIP2018)复赛提高组 day2为例 题目概况会告诉你所有题目的输入文件名和输出文件名 比如旅行这个题目你需要一个travel文件夹,你
使用vue开发Chrome插件——vue无法正常使用CSP环境导致)
Neonsekii的博客
09-03 1137
使用vue开发Chrome插件——vue无法正常使用CSP环境导致) 问题描述: 这几天在尝试着用vue开发Chrome小程序,但是在开发的第一步就遇到了问题,在尝试用vue进行数据渲染的时候发现数据无法被渲染并且处于vue标签内的所有标签都会被禁止渲染。 前端代码: <body> <div>test outSide</div> <div id="app"> <p>{{ messag
前端CSP & CSP如何落地,了解一下
Arui_0的博客
09-03 1154
CSP(Content-Security-Policy)是一个HTTP response header, 它描述允许页面控制用户代理能够为指定的页面加载哪些资源, 可防止XSS攻击 使用方式: Content-Security-Policy: 指令1 指令1的值1 指令1的值2 指令1的值3; 指令2 指令2的值1 指令2的值2 复制代码 调试工具: Chrome插件——modheader。通过随意设置响应头来测试CSP 简单过一遍常见的指令 获取资源相关的指令 font-src frame-src im
CCF-CSP认证C++常用标准库函数
NoNameThinker的博客
12-13 4902
1、输入输出 2、字符串 3、数据结构 3.1 映射 3.1.1 map 头文件 #include <map> 3.1.1 unordered_map 3.2 集合 3.3 容器 4、映射 5、
CCFCSP-算法编写技巧(收集+总结 不定期更新)
TriAlley的博客
04-10 2511
有很多细节,比如如何读取不定长的输入这一类,算法课不会讲,语言课也不讲。想了解这些细节要么靠口口相传,要么靠自己试错。这样学习算法竞赛效率奇低,太傻X了。 宏定义简化for循环书写耗时 #define _for(i,a,b) for(int i=a;i<b;i++) txt作输入进行代码测试 freopen(“in.txt”,”r”,stdin); 输入输出使用cstdio而不是iost...
HTML 与 ES6 是前端开发的两大核心技术
最新发布
qq_25416827的博客
10-02 818
HTML:主要负责页面的结构、语义化、布局和多媒体处理。ES6:提高了 JavaScript 的开发效率和可读性,尤其是模块化、异步编程和数据处理方式的革。
复习HTML(基础)
m0_74124657的博客
10-01 1094
目录HTML含义 HTML作用HTML的常用元素元素的特点元素的分类1 是否嵌套关系2 是否独占一行块元素:独占一行 行内元素:共享一行 行内元素与块级元素的转换3是否有结束标签 常用标签1 标题标签:有六级 我们用h1 ~h6 表示2 段落标签:内容3 图像标签:< img src=" 图片路径" > 是为了添加图片使用的4 视频标签: 添加视频使用5 列表5.1 无序列表5.2 有序列表6 超链接 : 内容 1 访问同目录下的网页2 访问外部 网页3 访问本地网页7 标签 , 8 表
如何在httpd中启用CSP并启用报错提示?
09-19
- 打开你的`httpd.conf`或者在虚拟主机配置文件(如`.htaccess`)中,添加新的`Header`指令来设定CSP政策。示例: ```apache Header always set Content-Security-Policy "default-src 'self'; script-src '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值