- 博客(3)
- 收藏
- 关注
RSS订阅原创 XSS攻击
目的 攻击者往web页面插入恶意的可执行脚本(html,js),获取用户安全隐私(cookie),执行恶意请求(支付) 1.非持久型XSS 不经过服务器存储,直接通过get或者post请求,就能拿到隐私数据 需要诱骗用户点击 例子: 当页面含有获取url参数直接展示在页面时。 攻击者将参数修改为 alert(document.cookie) 防范: 页面的渲染所有内容尽量来自于服务端 不要用ur...
2019-06-26 23:49:26
170
转载 前端跨域及其解决方案
跨域原因 同源策略的限制 协议、域名、端口号必须相同,否则被同源策略限制,防止恶意的网站窃取数据,防范跨站脚本的攻击,禁止客户端JavaScript对不同域的服务进行跨站调用 常用解决方案1 jsonp(只能get请求) 在页面添加<script src="">发送get请求,服务器收到请求后,将数据放在一个指定名字的回调函数里传回来 具体做法:使用jQuery封装的Ajax,只需...
2019-06-03 23:28:53
148
原创 ajax
Ajax底层原理 第一步 new if(window.XMLHttpRequest) { request = new XMLHttpRequest(); } else { request = new ActiveXObject("microsoft.XMLHTTP"); } 第二步 open request.open("get", url, async); 第三步 send re...
2019-06-03 22:51:09
108
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人