Dom树:
<html>是树根,其他是树的每个节点
标签节点以<xxx>表示,属性节点以@xxx表示,而文本节点以xxx表示
隐私数据可能存储在:
- HTML内容中
- 浏览器本地存储中,如Cookies等
- URL地址中
很多网站通过iframe标签嵌入第三方内容,攻击者入侵网站后可以通过iframe嵌入网马页面
Cookie的重要字段:[name][value][domain][path][expires][httponly][secure]
domain:不指定时默认为本域
不能设置Cookie的domain为下一级子域或其他外域
HttpOnly:仅在HTTP层面上传输的Cookie,设置后客户端脚本无法读写该Cookie,能有效防御了XSS攻击获取Cookie
Apache HTTP Server 400错误暴露 HttpOnly Cookie:请求头信息超过限制长度时服务器返回400错误,并在返回信息中将出错的请求头内容输出
后面到第六章的部分粗略看了一下,没有做详细的笔记,有时间的话再补起来