android h5请求不安全性,iOS常见的H5安全问题(Safari on iOS、Chrome for Android)

最新推荐文章于 2024-04-03 16:01:17 发布
最新推荐文章于 2024-04-03 16:01:17 发布
阅读量428 收藏
点赞数
文章标签: android h5请求不安全性

1、跨站脚本攻击(XSS Cross Site Scripting)

网站一大堆文章 解释啥是XSS

举几个不常见的案例:

通过SVG文件进行XSS

SVG标签可以通过onload等事件在任何元素上执行JavaScript,而无需用户交互

通过audio、video标签进行XSS

audio、video标签标签可以通过onload等事件在任何元素上执行JavaScript,而无需用户交互

通过内嵌iframe获取权限

通过draggable API进行文本注入

通过事件处理“ ondragstart”和值为“ true”的属性“ draggable”,“ setData”方法可以将文本“malicious code”而不是“Drop me”到iframe中。该iframe可以包含一个网页,其中包含一个用于输入数据的输入字段。请注意,由于安全隐患,跨域拖放功能同时受到严格限制。

通常情况下,要禁用iframe的使用,可以在body的onLoad方法中遍历dom节点,移除iframe标签

2、跨域访问(CORS CrossOrigin Resources Sharing)

{

"Access–Control-Allow-Origin": "*"

}

对于设置了允许所有域访问的接口来说,带来快捷的同时,也带来风险。

通常情况下只允许同域访问,在特殊情况下需要允许a.com访问b.com时,在b.com上设置如下来允许a.com访问

{

"Access–Control-Allow-Origin": "http://a.com"

}

对跨越访问的请求要严格校验session信息,包括请求头、请求参数等

3、Web Worker 和 Service Worker 带来的安全问题

通过预防XSS,来避免带来的问题

ddos

用户一旦访问恶意页面或者网站时,页面的恶意代码就能把用户的浏览器当作肉鸡,利用WebWorker大规模执行多线程攻击,例如DDos攻击、发送垃圾邮件或者进行网络嗅探

postMessage + innerHTML带来的问题

worker.addEventListener(‘message’,function(e) {

document.getElementById(‘result’).innerHTML = e.data;

}, false);

postMessage不通过服务器,如果不经过验证和过滤,可能成为XSS注入点。攻击者完全可以构造恶意的data来注入页面DOM,构造XSS攻击,形如“”等

4、file:// 协议跨域访问

WKWebview控件将allowFileAccessFromFileURLs 设置为YES,开启了file域访问,且允许file域访问http域,但是并未对file域的路径做严格限制。

[preferences setValue:@YES forKey:@"allowFileAccessFromFileURLs"];

独家马仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java后端带七端(h5+android+ios)多语言IM源码带视频教程
06-04
java后端带七端(h5+android+ios)多语言IM即时通讯源码带视频教程
移动端H5坑位指南
昨天1990的专栏
11-09 301
移动前端
H5面临的网络安全威胁和防范措施
最新发布
dexun123的博客
04-03 1229
H5,是基于HTML5技术的网页文件。HTML,全称Hyper Text Markup Language,即超文本标记语言,由Web的发明者Tim Berners-Lee与同事Daniel W. Connolly共同创立。作为SGML的一种应用,HTML编写的超文本文档能够独立于各种操作系统平台使用,只需通过浏览器即可将所需信息呈现为普通人能够识别的网页。每个HTML文档都是一个静态的网页文件,其中包含了一系列HTML指令代码。这些代码并非程序语言,而是一种标记结构语言,用于排版网页中内容的显示位置。
关于H5请求数据报跨域问题记录
weixin_43738127的博客
08-18 2019
关于H5嵌入在ios App中请求数据未获取返回数据的问题记录
如何防范html5移动开发中会遇到的安全问题
u013265457的专栏
02-26 1082
在大家都在强调html5开发有多好,都在瞩目html5/css3的时候,html5移动开发也被曝出了可能存在的几个安全性问题 ,这事html5本身优秀的标准的背后存在的一系列的并发症问题,但是并不影响html5的标准规范对未来的影响,我们只需要知道并且加以防范就可以了。   下面的内容并没有使用什么特别的顺序,我们要介绍五种可能会利用HTML5移动开发的功能进行攻击的方法:
移动端 H5 相关问题汇总
m0_52724742的博客
10-03 230
. 1px 问题 . 响应式布局 . iOS 滑动不流畅 . iOS 上拉边界下拉出现白色空白 . 页面件放大或缩小不确定性行为 . click 点击穿透与延迟 . 软键盘弹出将页面顶起来、收起未回落问题 . iPhone X 底部栏适配问题
前端必须注意的40条移动端H5坑位指南
Cool的博客
01-28 653
前言 不知不觉在网易已有三年半,占了一半时间都在与移动端打交道,整个阶段都是遇坑填坑的学习过程。移动端开发在前端里像神一样地存在,不是说它多难而是说它坑位实在太多了,怎样填都填不完。AndroidiOS各显神通,Android的系统版本和屏幕分辨率多得难以一招兼容,iOS的顽固标准和未知特性多得难以快速掌握。 三年半沉淀通过本文记录下所遇到的坑位,或许有些坑位还未遇到,但本文记录的40条坑位绝对能让同学们少走很多弯路,特别是前端小白。为了减少废话提高本文质量,对以下内容做一些约定。 提及的安卓系统包
关于HTML 5几个重要安全问题
fstudio
12-06 937
关于HTML 5几个重要安全问题 HTML 5有两大特点:首先,强化了Web网页的表现性能。其次,追加了本地数据库等Web应用的功能。 应用程序安全专家表示,HTML5给开发人员带来了新的安全挑战。苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测,尽管HTML 5的实现还有很长的路要走,但可以肯定的一点是,运用HTML 5的开发人员将需要为应用程序安全开发生命周
ios APP使用WKWebView打开本地h5文件(跨域、Undefined symbols for architecture x86_64 “_OBJC_CLASS_$_WKWebView“..)
zcc的博客
10-17 4452
H5开发好的网页,想做成ios APP,于是 WKWebView 打开本地文件夹里的html页面。下面例子里有地址带参数的和不带参数的。遇到问题:1、h5项目中用到了 less文件采用了发请求的方式、包括发送的ajax请求都出现了跨域的问题: 2、报错:Undefined symbols for architecture x86_64 "_OBJC_CLASS_$_WKWebView",referenced from...点击项目 - General - Frameworks,Libraries,and
*uni-app之H5端跨域问题解决方案
weixin_43251902的博客
03-22 6883
场景:跨域问题只存在于浏览器端 ,App和小程序不存在跨域问题。 产生原因:由于uni-app是标准的前后端分离模式 开发h5应用时如果前端代码和后端接口没有部署在同域服务器,就会被浏览器报跨域。 前后端分离的开发模式越来越流行,目前绝大多数的公司与项目都采取这种方式来开发,它的好处是: 前端可以只专注于页面实现,而后端则主要负责接口开发,前后端分工明确,彼此职责分离,不再高度耦合。 但是由于这种开发模式将前后端项目分开来独立部署,所以将必不可免的会碰到跨域问题. 解决方案:uni-app官方推荐使用H
ios html 跨域,axios请求使用方法 并解决跨域问题
weixin_35572076的博客
06-07 2504
最近在研究axios 的异步请求,用法和ajax差不多,但是官方说明比ajsx要好get 请求使用方法var url = "请求链接";var param= {"参数":"参数的值"};// axios 参数必须用params包裹,例如: var param = {params:{pageNo:1,pageSize:20}}param = {params:param};axios.get(u...
iOS WKWebView适配实战篇
08-19
主要介绍了iOS WKWebView适配实战篇,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一个taro适配AndroidiOS、微信小程序、H5最佳实践项目的脚手架
06-19
taro适配AndroidiOS、微信小程序、H5最佳实践,主要涉及到了基础网络请求的封装、适配了多端的SafeArea安全区域、style工具样式引用替换scss的繁琐写法大幅度简化代码,同时解决了scss样式无法通过className进行属性...
h5复制到剪切板兼容ios浏览器
03-25
ios+android+h5复制剪切板
jw player drm视频播放器(h5、web、androidios)视频播放
10-16
jw player drm视频播放器(h5、web、androidios)视频播放,带key
2D 游戏开发软件 CocosCreater 开发(可发布到 iOS Android H5 端).zip
11-21
小游戏 游戏系统设计、开发,供相关人员学习参考,提供说明材料+源代码 小游戏 游戏系统设计、开发,供相关人员学习参考,提供说明材料+源代码 小游戏 游戏系统设计、开发,供相关人员学习参考,提供说明材料+源代码...
h5url传参参数中有特殊字符,接收到的参数问题
Anyuegogogo的博客
03-28 233
h5url传参参数中有特殊字符,接收到的参数问题;对参数编码处理encodeURIComponent(); 解码用decodeURIComponent();
HTML5安全
Code_Aape的博客
10-22 399
文章目录HTML5安全1. H5新标签1.1 iframe的sandbox1.2 Link Types: noreferrer1.3 Canvas的妙用2. 其他安全问题2.1 Cross-Origin Resource Sharing2.2 postMessage —— 跨窗口传递消息2.3 Web Storage HTML5安全 1. H5新标签 1.1 iframe的sandbox <iframe>标签一直受人诟病。浏览器也在想办法限制<iframe>执行脚本的权限。 而H5
AndroidiosH5交互
weixin_42147968的博客
11-08 1191
AndroidiosH5交互
app h5 判断ios还是android
05-25
可以通过以下代码判断用户使用的是 iOS 还是 Android: ```javascript var u = navigator.userAgent; var isAndroid = u.indexOf('Android') > -1 || u.indexOf('Adr') > -1; // 判断是否是 android 终端 var isiOS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值