用户的恶意输入
非预期的输入
通过a站点攻击b站点
http协议与会话管理
一个网址
输入网址 浏览器查找域名的ip地址 浏览器给web服务器发送一个http请求
服务器端处理请求 服务器端返回一个http响应 浏览器渲染显示html
协议名,若不输入,默认为http协议
层级url的标记符号 //
访问资源所需的凭证信息,有些网站有,比如获取资源(下载电影)
ftp:// 账号:密码@网址
ftp也是一个协议
从哪个服务器获取数据 www.baidu.com
需要连接的端口 默认为80
层级文件路径 ?前面的
查询字符串
片段ID #
https协议与http的区别
https的数据请求是进行了加密
像百度那样,可以看到网址前面有个锁
cookie
name : cookie的名称
value:值
domain:指定cookie的有效域
path:指定cookie的有效url路径
expires
最重要的一点!cookie通常是用于保存用户的登录状态,比如登录了百度的账号,试着在chrome的cookie中清除所有cookie,就会发现登录状态没了
先解释html,再解析css,最后解析js
浏览器特性和安全策略
同源策略
同域与不同域
授权是通过http响应头返回的
access-control-allow-origin:
可在控制台通过document.cookie直接获取网页的cookie
sesiss
比如在页面中随便一个页面中嵌入iframe,网址是百度
若把sandbox的allow-form去掉,发现搜索框无法搜索了
xss
跨站脚本攻击
在页面植入恶意代码,访问的人访问这些页面,浏览器就会执行攻击者植入的恶意代码,而访问者就会被进行身份的窃取
成因:对于用户输入没有严格控制而直接输出到页面
危害:盗取账号,窃取数据,非法转账,挂马
此为草稿,未完待续