网站不许 firefox 显示被嵌入的网页_Firefox:网站如何窃取你的所有Cookie

最新推荐文章于 2023-01-14 22:18:42 发布
VIP文章 最新推荐文章于 2023-01-14 22:18:42 发布
阅读量2.9k 收藏
点赞数
文章标签: 网站不许 firefox 显示被嵌入的网页
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39929646/article/details/111574015
版权

本篇为描述CVE-2020–15647的文章,解释了网页如何能够从Android设备上窃取文件,包括但不限于来自任何已访问网站的cookie。

介绍

在2020年中,我开始检查Android浏览器是否存在多种类型的漏洞。在查看Firefox for Android的v68.9.0时,我注意到它在浏览 content:// URI时显示奇怪的行为。 对于上下文,Android中的Content URI标识内容提供者中的数据;它们可以表示多种形式的信息,例如文件或数据库信息。

大多数浏览器都支持file://content:// URI方案的解析和处理。如果尝试在浏览器中打开本地HTML文件,则该文件很可能会使用由打开文件时使用的文件浏览器创建的content:// URI。

测试内容:// URI

当我测试Firefox对 contentURI的使用时,我注意到在渲染URI时地址栏正在更改,从而将我重定向到 file://URI。看来Firefox将内容保存到文件中,然后将我重定向到该创建的文件-该文件被保存在内部临时文件夹中 /data/data/org.mozilla/firefox/cache/contentUri/

e31e3a5d4cfb7c9ae8d00d47df942021.png

我还注意到,创建的文件_display_name与提供程序返回的显示名称()具有相同的名称,并且Firefox不会更改名称(因此会覆盖该文件)(如果已存在)。

权限

内容提供者的问题是,通常,应用程序需要特定的URI权限才能从其他应用程序和提供者获取内容。这可以防止应用程序访问其他提供程序中的文件,除非已明确授予它们许可(在点击“打开方式”或“共享方式”并选择一个应用程序来访问文件时就是这种情况)。但是,从自己的内容提供者访问URI时,应用程序无需遵循此路线。

Firefox的文件内容提供者的权限为

org.mozilla.firefox.fileprovider

最低0.47元/天 解锁文章
weixin_39929646
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止页面被iframe(兼容IE,Firefox火狐)
09-05
以前发布的防止被iframe的代码,容易在火狐浏览器下, 不断的刷新页面。所以从网站找到了这篇文章。
U盘所有文件(夹)变成.exe文件的解决方法
林下的码路
09-16 1088
U盘所有文件(夹)变成.exe文件的解决方法: 懒人渠道:直达链接密码:hgp9 1. 在U盘创建01.reg文件: Windows Registry Editor Version 5.00 [HKEY_LOCAL_ MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]“CheckedValue"=dword:00000001 2. 在U盘创建02.bat文件:.
git pull忽略指定文件_Git 实用笔记
bobo的博客
01-05 1698
更新于 2019/03/28 22:29:49git 文件状态这里说的是已被追踪的文件分为未修改、已修改、已放入暂存区。各状态之间的转化一般都会有两个远程分支,origin 代表自己的远程仓库,upstream 代表上游官方代码仓库git add 命令作用:开始跟踪新文件;把已跟踪且修改过的文件放到暂存区;将有冲突的文件标记为已解决;HEAD 指针HEAD 指针很重要,就把他放在第一项简单介绍了,...
Git命令入门教程
liuqiao0327的专栏
03-12 4786
一.Git是什么 ​ Git是目前世界上最先进的分布式版本控制系统 二.SVN与Git的最主要的区别? ​ SVN为集中式版本控制系统,版本库是集中存放在中央服务器的, ​ 单独搭建SVN服务器,不能离线工作 ​ 操作简单代码保密性较强 ​ Git为分布式版本控制系统,根本没有"中央服务器",每个人的电脑都是一个完整的版本库 ​ 适合分布式开发,强调个...
“Failed to load response data“ django@xframe_options_exempt 网站不许 Firefox 显示嵌入网页
唐心的博客
04-06 692
python django ajax chrome 显示 failed to xxx 。以为ajax 数据量大。 设置ajax 的timeout 没有用 换firefox 网站不许 Firefox 显示嵌入网页 。哦。(firefox nb) django 的官方 xframe_options_exempt 在view的视图方法上注解 ok.安全问题。 ...
git忽略文件
yu_duan_hun的博客
09-06 306
对于后台服务器,有些时候希望git的pull和push忽略一些文件。需要创建文件:.gitignore 附:点开头文件在windows环境下创建: 文件后加点,如创建.a命名时写.a. 查看头部写法: https://github.com/github/gitignore 比如C就用C.gitignore,Java用Java.gitignore就行,然后就在项目路径下写忽略文件的...
git pull忽略指定文件_Git pull或git fetch忽略某些文件
weixin_39633089的博客
12-22 2071
我们正在同一个基础上开发多个项目,所以我们有一个公司存储库,其中包含一些分支(每个项目有1个+一些用于合并项目),每个开发人员都有自己的回购相同(或多或少)分支。现在其中一个项目已经开始,它基本上成了主人。其他项目应该合并到它并且不会破坏任何东西。Git pull或git fetch忽略某些文件所以我有我的回购一个项目的所有代码/元数据,现在我必须从上游(活项目)拉主,以合并一切。我试过的只是:g...
firefox_hackbar_v2.1.3_HTTP网页_httppost,get_V2_火狐hackbar2.1.3_网页
10-01
GET,POST请求时http协议中两个重要的请求,测试这些请求有很多工具,常见的就是网页测试。
Firefox_focus-android-master:火狐开源浏览器使用Kotlin,java混合编码
02-08
Android版Firefox Focus 浏览无人观看。 全新的Firefox Focus自动阻止各种在线跟踪器-从启动它到退出它的第二秒。 轻松擦除您的历史记录,密码和Cookie,因此不会再出现垃圾广告之类的事情。 Firefox Focus在易于...
火狐浏览器firefox115win764位最终版
最新发布
01-27
这是火狐浏览器支持win7的最后一个版本,欢迎大家下载
127.0.0.1 将不允许 Firefox 显示嵌入于其他网站页面
t0m的专栏
08-25 8123
springboot + springsecurity + thymeleaf (版本2.2.6) 嵌套iframe中出现:127.0.0.1/localhost 将不允许 Firefox 显示嵌入于其他网站页面 点击了解详细信息:https://developer.mozilla.org/de/docs/Web/HTTP/Headers/X-Frame-Options 提示需要将服务器端页面返回响应头增加:X-Frame-Options // deny 不允许iframe嵌套 X-Frame-
git pull忽略指定文件_从'git pull'中排除特定文件
weixin_39750410的博客
12-22 1258
I have a production git repo that I only pull changes from the main repo into; I never change this repo or do commits/pushes from here. I recently accidentally pushed some untracked (at least I though...
网站不许 firefox 显示嵌入网页_对于最新版 Firefox,你了解多少?
weixin_39973416的博客
12-15 3756
前不久,Firefox 发布最新版——Firefox 78,大家都更新了吗?对于新功能了解多少?今天给大家详细介绍一下。此版本支持 10.9、10.10 与 10.11 版的 macOS。如果您是这三种 macOS 版本的用户,接下来一年都将享有 Firefox 78.x 延长支持版(Extended Support Release,ESR)的稳定支持。在此特别对参与此次更新任务的新生 ...
网站不许 firefox 显示嵌入网页_一键找出网页里所有的好图片
weixin_39545805的博客
12-18 504
今天火箭君教大家如何在一个网页中找出所有页面内图片。我们需要通过下面这款「Chrome / Firefox插件」来实现图片提取,火箭君个人非常喜欢这款插件,因为就是简单粗暴实用。Image Assistant 登场Image AssistantImage Assistant是一款包含网页图片提取、筛选、下载功能的chrome扩展。可以说在页面中能够看到的图片元素几乎都能够被提取,哪怕...
springBootAdmin在线查看日志404
zwrlj527的专栏
09-29 4633
序 今天在做系统功能巡检发现springBootAdmin监控微服务的日志居然不能查看了,保404。最近升级了几次依赖版本,admin也升级到2.5.1了,所以一时间不知道问题出在那里。下面分享下处理过程,关于Admin监控微服务我就不说了额,可以看我前面的博文。 一、 现象 二、检查logback配置文件 <?xml version="1.0" encoding="UTF-8"?> <configuration> <!--定义日志文件的存储地址 勿在 LogBa
git 忽略已加到版本库的中的文件或文件夹
xujianjun229的博客
01-14 1801
git 忽略已加到版本库的中的文件或文件夹
git 每次pull .gitignore忽略 要写一个文件夹
youshuang1207的博客
10-27 492
我使用的就是3.1.4版本的,且命令用的是import os # if __name__ == "__main__": # pytest.main(["--grid=1", "--browser=firefox"]) if __name__ == "__main__": os.system("hrun testsuites/test_case.yml")
06-11
感谢你的进一步说明,我理解了你的问题。根据你提供的信息,推测出现报错可能是由于 httprunner 的版本升级导致的。 在 httprunner 3.0 以上版本中,`os.system("hrun testsuites/test_case.yml")` 的使用方法已经被废弃,应该改为使用以下方式运行测试用例: ``` from httprunner import HttpRunner runner = HttpRunner() runner.run("testsuites/test_case.yml") ``` 如果你想使用命令行工具来运行测试用例,可以使用以下命令: ``` hrun testsuites/test_case.yml ``` 请尝试在你的代码中修改为以上方式,看看是否能够解决报错问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值