笔记.浏览器的安全

最新推荐文章于 2021-10-18 11:45:03 发布
最新推荐文章于 2021-10-18 11:45:03 发布
阅读量393 收藏
点赞数
分类专栏: 笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiongjieluo/article/details/89509338
版权

1.同源策略:

浏览器的同源策略,限制了来自不同源的document或者脚本对当前document读取或修改。

影响源的因素是host (域名或者ip地址)、子域名、端口、协议。

可以跨域加载的标签有以下几个

script   --其中代码用JavaScript来执行

img      --引用图片

iframe  --在当前页面加载一个其他页面的内容

link       --定义文档与外部资源的关系。

因为这些带"src"的标签在每次加载的时候,是由浏览器发起了一次GET请求。

 

 

他与XMLHttpRequest的区别是:

通过src加载的资源,浏览器限制了权限,不能读写返回的内容。

XMLHttpRequest跨域访问标准:需要通过目标域返回的HTTP头来授权是否允许跨域访问。(安全基础是要信任“JavaScript”无法控制该HTTP头。)

 

LOΛD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器安全级别怎么设置,设置浏览器安全级别的方法
m0_69916115的博客
08-13 7012
浏览器作为重要的上网入口,发挥着重要作用。浏览器的功能不只是用看网页看视频,现在已经发展成为提供全方位服务的综合工具。正是这个原因,浏览器安全性受到了挑战,要想浏览器安全浏览得到保障,就要设置浏览器安全级别,那么怎么设置呢?本文将分享浏览器安全级别的设置方法,需要的朋友可以继续往下看。...
笔记-HTTP协议
xiaoxiongjieluo的博客
04-23 189
HTTP协议 是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于19...
游戏安全笔记 - 2019.05.28
一清道长的个人博客
05-28 230
网络游戏 - 外挂 : 通过使用WPE Pro工具 封包 - 把数据包修改数据,可以达到修改诸如攻击力 写外挂最重要的是通过tp保护。
http协议笔记
weixin_43885657的博客
03-19 85
http协议 1.什么是http协议 超文本传输协议,是客户端与sever端数据传输的一种规范 2.http协议包括哪几部分 包括 request line,消息头,消息体 请求的request line 包括 请求的方法 http版本号等信息,而响应的request line 包括状态码等信息 消息头:消息头部有很多键值对组成,形如Accept-Encoding:可接受的内容编码 消息体:get...
Web安全攻防-----学习笔记(一)
舞指如歌~的博客
09-07 1815
参考书籍:Web安全攻防-渗透测试实战指南 徐焱(yan\)李文轩 等 配套资源网址:https://www.ms08067.com/ 第1章--渗透测试之信息收集 1.1whois查询 1.2收集敏感信息 1.3收集子域名信息 1.子域名检测工具,Layer子域名挖掘机、Sublist3r和subDomainsBrute 2.收索引擎枚举 3.第三方聚合应用枚举 4.证书透...
常见的Web应用的漏洞总结(原理、危害、防御)
热门推荐
空心菜的博客
04-15 1万+
一、 SQL注入(SQL Inject)[OWASP TOP1 2017]: 二、 XSS(Cross-site Script)[OWASP TOP7 2017] 三、 上传漏洞 四、 文件解析漏洞 五、 CSRF(Cross-Site Request Forgery) 六、 DDos攻击 分布式拒绝服务(Distributed Denial of service Attack) ...
浏览器安全学习笔记
whoim_i的博客
10-29 1142
目录前言浏览器安全一、同源策略二、浏览器沙箱三、恶意网址拦截 前言 作为一个菜鸟渣渣,自以为懂得很多,然而在一次面试交谈中被问及浏览器相关安全策略,是一脸懵逼。脑袋里跑的是什么url、协议、用户访问过程啥的,能想到一点,但是很乱,在此自我批评。安全的范围太广了,感觉什么都要涉及,所以什么都会学习一点,但是没有系统性的思维,当朋友问及一个东西,虽然学过,但是回想不起来,只是熟悉。需要作一提醒才焕然大...
浏览器安全机制
全栈修炼
09-12 1184
前言 此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。 书接上文 浏览器之 javaScript 引擎 本章主要讲解 浏览器安全机制的网页的安全浏览器安全。 1. 网页安全模型 1.1 安全模型基础 当用户访问网页的时候,浏览器需要确保该网页中数据的安全性...
HTML课堂笔记.pdf
11-29
在本节笔记中,我们将对 HTML 的基础知识点进行概括性的介绍。 一、HTML基本结构 HTML 文档的基本结构由以下几部分组成: 1. 文档类型声明(DOCTYPE): 2. HTML 元素: 3. 头部元素: 4. 主体元素: 其中,文档...
2023年韩顺平html笔记.docx
10-27
* `_top`:在整个浏览器窗口打开链接 2. 图像元素:”文献途径” width=”宽度” height=”高度”/> 3. 表格:”边框宽度” width=”” cellspacing=”空隙大小” cellpadding=”填充大小”> * `<tr>`:用于说明行...
安全:Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
js笔记.docx
09-06
JavaScript是一种描述性语言 也是一种基于对象(object)和事件驱动(Event Driven)的 并具有安全性能的脚本语言 JavaScript应用程序多要下载到浏览器的客户端执行从而减轻服务器负担  JavaScript主要用来在HTML...
笔记-Web安全与漏洞
xiaoxiongjieluo的博客
04-29 4918
这个有一个权威的排行榜。也就是传说中的-----OWASP TOP10 http://www.owasp.org.cn/ 这个会不定时的更新,而且里面说例子和原理都挺全面的, 大家可以去这里看到最新的威胁排行 OWASP: 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持...
测试中常见的一些信息泄露
xiaoxiongjieluo的博客
02-10 3315
信息泄露一、.hg源码泄露二、.git源码泄露三、.DS_Store源码泄露四、网站备份压缩文件五、SVN文件泄露 一、.hg源码泄露 在使用hg init创建一个项目的时候一般会生成.hg,文件一般在根目录下输入.hg就可以发现. 检测方法:http://www.xx.com/.hg/ 可能会发现一些配置信息 二、.git源码泄露 在使用git init初始化的时候会在当前的目录下产生一个,gi...
Linux的一些排查webshell小方法
xiaoxiongjieluo的博客
02-12 1789
查找目录中最后N分钟被改变数据的PHP文 find -mmin n -name *.php /var/www/name/ access time 表示最后一次访问(仅访问,非改动)的时间 modify time 表示最后一次修改文件的时间 change time 表示最后一次对文件属性改变的时间,包括权限、大小、属性等。 find . -name “*.php” -print0 |xargs ...
内网的一些基础知识
xiaoxiongjieluo的博客
02-12 841
工作组
HTTP请求方法和返回
xiaoxiongjieluo的博客
02-11 799
HTTP的请求方法 1.GET 请求访问已识别的资源 2.PUT 本质上来讲, PUT和POST极为相似,都是向服务器发送数据,但它们之间有一个重要区别,PUT通常指定了资源的存放位置,而POST则没有,POST的数据存放位置由服务器自己决定。 3.HEAD 和GET方法类似,不返回报文主体部分,一般用来测试资源标识符有效性或者资源更新的日期和时间 4.DELETE 删除文件 5. OPTIONS...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8288
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
windows&linux&web安全应急响应实战笔记
最新发布
06-26
Windows 10具有新的功能和更新的应用程序,如Windows相机、Windows照片、Cortana助手和Microsoft Edge浏览器。Windows操作系统也提供了广泛的支持和用户社区,使得用户可以轻松获取帮助和支持。总的来说,Windows是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值