安全
关注
分享
扫一扫
程序员面试那点事儿
互联网大厂校招、社招面试官,多年互联网大厂工作经验,分享校招、社招面试题、职场相关内容,互相交流经验
展开
-
第2章 浏览器安全
2.1 同源策略 限制了来自不同源的document或脚本,对当前document读取或设置某些属性 影响源的因素有:host、子域名、端口、协议 在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以跨域加载资源,而不受同源策略的限制,实际上是由浏览器发起了一次GET请求 XMLHtt...原创 2018-03-09 14:59:55 · 199 阅读 · 0 评论 -
第一章 Web安全的关键点
1.1 数据与指令 打开网站,呈现出来的都是数据 1 服务端存储的(如数据库、内存、文件系统等) 2 客户端存储的(如本地Cookie、Flash Cookie等) 3 传输中的(如JSON数据、XML数据等) 4 文本数据(如HTML、JavaScript、CSS等) ...原创 2018-03-11 14:53:58 · 235 阅读 · 0 评论 -
第2章 前端基础
2.1 W3C的世界的法则 W3C 万维网联盟,制定了web世界的标准,因为是推荐,浏览器的实现不一定完全按照标准,所以出现了各种Hack技术 Web安全事件的角色:W3C、浏览器厂商、Web厂商、攻击者、被攻击者 2.2 URL 通过URL请求可以查找到唯一的资源 URL有个重点就是编码方式,有三类:escape、enc...原创 2018-03-12 15:02:42 · 132 阅读 · 0 评论 -
web前后端漏洞分析与防御
XSS原理是什么? 全称是跨站脚本攻击(Cross Site Scripting),恶意攻击者往web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的XSS的类型时什么? 第一种:反射性XSS 通过给用户发送带有恶意脚本代码参数的URL,当URL被打开时,特有的恶意代码被html解析,执行。特点是非持久化,必须用户点击特定参...原创 2018-03-06 07:42:14 · 587 阅读 · 0 评论 -
第5章 前端黑客之界面操作劫持
5.1 界面劫持操作概述 界面操作劫持是通过网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意劫持代码,从而完成在用户不知情的情况下窃取敏感逆袭,篡改数据等攻击。 点击劫持、拖放劫持、触屏劫持 5....原创 2018-03-19 11:25:31 · 671 阅读 · 0 评论 -
第3章 前端黑客之XSS
3.1 XSS概述 XSS概述 跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个Html文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生 三个关键点: 场景:目标网站的目标用户 浏览器:因为这类攻击是有浏览器解析执行的。 不被预期:攻击者在...原创 2018-03-13 11:09:47 · 208 阅读 · 0 评论 -
第4章 前端黑客之CSRF
4.1 CSRF概述 跨站请求伪造,两个关键点:跨站点的请求与请求是伪造的 4.1.1 跨站点的请求 跨站点请求的来源是其他站点,这个请求就是跨站点的请求,目标网站应该区分请求来源 4.1.2 请求是伪造的 请求的发出不是用户的意愿,那么这个请求就是伪造的。XSS虽然是同域内发起的,但是仍然是伪造的 4.1.3 一个场景 4.2 C...原创 2018-03-13 11:57:00 · 163 阅读 · 0 评论