安全漏洞
前端安全漏洞,如xss攻击
ʚ梅梅ɞ
这个作者很懒,什么都没留下…
展开
-
vue使用iframe,embed,video报错because it set ‘X-Frame-Options‘ to ‘DENY‘
场景页面上使用iframe,embed,video插入音频,pdf等控制台报错Refused to display 'http://127.0.0.1:8000/console' in a frame because it set 'X-Frame-Options' to 'DENY'.X-Frame-Options简介The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 , 或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,原创 2021-10-21 11:41:36 · 3954 阅读 · 0 评论 -
Vue中v-html引起xss攻击(防止script注入)
v-html引起xss攻击场景<div v-html="html"></html>data(){ return { html:'alert('1')' }}解决办法1. 下载 xss 依赖npm install xss --save2. main.js中引入xss包并挂载到vue原型上import xss from "xss";Vue.prototype.xss = xss;3. 在vue.config.js中覆写html指令chainWebpac原创 2021-07-16 15:48:30 · 3034 阅读 · 0 评论 -
XSS攻击和CSRF攻击及其区别
XSS攻击XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式)持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。XSS虽然不是什么新鲜玩意,但原创 2021-07-16 15:36:35 · 1970 阅读 · 0 评论 -
低危某个头缺失或不安全(xss攻击)
测试软件appscan测试结果“Content-Security-Policy”头缺失或不安全通过获取指令来控制某些可能被加载的确切的资源类型的位置“X-Content-Type-Options”头缺失或不安全HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。“X-XSS-Protection”头缺失或不安全HTTP X-XSS-Protection 响应头是 Internet E原创 2021-07-16 15:24:00 · 724 阅读 · 0 评论 -
中危跨站点请求伪造
测试软件appscan测试结果来源GET /web-api/api/table/detail?tableId=864525321645326336&t=116261622511 HTTP/1.1解决方案Java验证“Referer”头的值原创 2021-07-16 14:56:06 · 178 阅读 · 0 评论 -
高危漏洞(登录接口带有vcode造成CSFF攻击)
测试软件appscan测试结果来源POST /web-api/api/login/checkLogin.do?vcode=3564解决方案把vcode放入body里原创 2021-07-16 14:40:14 · 191 阅读 · 0 评论