浏览器内核、网络安全、XSS、CSRF相关

最新推荐文章于 2024-06-12 11:13:48 发布
最新推荐文章于 2024-06-12 11:13:48 发布
阅读量401 收藏
点赞数
分类专栏: 学习文档 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiongdaandxiaomi/article/details/108056526
版权

1、浏览器内核

  • 1、IE浏览器内核:Trident内核,也是俗称的IE内核;
  • 2、Chrome浏览器内核:统称为Chromium内核或Chrome内核,以前是Webkit内核,现在是Blink内核;
  • 3、Firefox浏览器内核:Gecko内核,俗称Firefox内核;
  • 4、Safari浏览器内核:Webkit内核;
  • 5、Opera浏览器内核:最初是自己的Presto内核,后来是Webkit,现在是Blink内核;
  • 6、360浏览器、猎豹浏览器内核:IE+Chrome双内核;
  • 7、搜狗、遨游、QQ浏览器内核:Trident(兼容模式)+Webkit(高速模式);
  • 8、百度浏览器、世界之窗内核:IE内核;
  • 9、2345浏览器内核:以前是IE内核,现在也是IE+Chrome双内核;

2、http协议与会话

在这里插入图片描述

3、 cookie session 区别

  • Cookie 的数据保存在客户端浏览器,Session保存在服务器
  • 服务器保存状态机制需要在客户端做标记,所以Session可能借助Cookie机制
  • Cookie通常用于客户端保存用户的登录状态

更加具体可参考
链接: Cookie、session和localStorage、以及sessionStora.

4、同源策略

不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源
协议、域名、端口都相同

5、XSS 入门与介绍

xss,全称跨站脚本(cross site scripting),一种注入式攻击方式

xss 成因
  • 对于用户没有严格控制而直接输出到页面
  • 对非预期输入的预期
xss 的危害
  • 盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号
  • 窃取数据
  • 非法转账
  • 挂马

6、XSS 分类

在这里插入图片描述

7、CSRF 防御方法

  • 添加验证码
  • 检查网络请求
  • 增加请求参数token

8、CSRF的几种攻击方式

  • HTML CSRF
    在这里插入图片描述
    在这里插入图片描述

  • JSON HiJacking
    在这里插入图片描述

  • Flash CSRF
    在这里插入图片描述

xiongdaandxiaomi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站攻击(XSS+CSRF).docx
01-05
1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High级别的CSRF实现;...
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
关于浏览器的内核以及几个小问题
weixin_34185320的博客
02-09 242
首先厘清一下浏览器内核是什么东西。 英文叫做:Rendering Engine,中文翻译很多,排版引擎、解释引擎、渲染引擎,现在流行称为浏览器内核,至于为什么流行这么称呼,请自行领悟。 Rendering Engine,顾名思义,就是用来渲染网页内容的,将网页的...
Mozilla为Firefox添加新的CSRF保护
weixin_34354173的博客
05-02 139
Mozilla公司在上周宣布,即将推出的Firefox 60将引入对同一站点Cookie属性的支持,以保护用户免受CSRF(跨站请求伪造)***。 CSRF***允许恶意行为者通过让恶意行为者访问特制网页来代表经过身份验证的用户在网站上执行未经授权的活动。这些类型的***利用了以下事实:对网站的每个请求都包含Cookie(储存在用户本地终端上的数据),许多网站依靠这些Cookie进行身份验证。 M...
burpsuite之CSRF测试
andyfeng088的博客
05-04 1万+
本测试以burpsuite与火狐浏览器为例 一、设置代理 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 二、抓包 火狐: 进入对应可能存在漏洞的网址或表单 ·新增或修改表单: (1) 新增/修改 (2) 填写表单 (3...
学习日志13:360安全浏览器远程代码执行漏洞
m0_37622973的博客
09-22 484
本文摘自乌云 出处:http://www.anquan.us/static/bugs/wooyun-2010-020.html 作者:结界师 缺陷编号:WooYun-2010-00020 1.漏洞基本情况:关键页面的XSS+任意插件安装+插件安装时不检验来源–>任意代码执行 2.详细说明: 360浏览器为了扩展自己的功能,在内部实现了一系列的扩展接口,并且通过web可以调用这些接口,但是在跨...
关于浏览器内核的一些小知识,明明白白选浏览器
WEBCODE
11-21 276
一、浏览器内核 (排版引擎/渲染引擎) 首先解释一下浏览器内核是什么东西。英文叫做:Rendering Engine,中文翻译很多,排版引擎、解释引擎、渲染引擎,现在流行称为浏览器内核,至于为什么流行这么称呼,请自行领悟。 Rendering Engine,顾名思义,就是用来渲染网页内容的,将网页的代码转换为最终你看得见的页面。因为是排版,所以肯定会排版错位等问题。为什么会排版错位呢?有的...
吃透浏览器安全(同源限制/XSS/CSRF/中间人攻击)
沐华的博客
10-02 2238
前言 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,特别是前端人员除了传统的 XSSCSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、SameSite、HttpOnly、Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要我们不断进行“查漏补缺” 浏览器安全可以分为三大块:Web页面安全、浏览器网络安全浏览器系统
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)...
网络安全攻击方式XSS初探.pdf
09-20
网络安全攻击方式XSS初探.pdf
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浏览器五大内核
热门推荐
郝大侠的博客
09-04 4万+
1. Trident IE的内核,也就是国内双核浏览器的内核之一,此内核只能用于Windows平台,且不是开源的。Trident内核一直延续到IE11,IE11的后继者Edge采用了新内核EdgeHTML。 2.Gecko 开源内核,后来被FF(FireFox)采用,最大优势是跨平台,在Microsoft Windows、Linux、MacOs X等主要操作系统中使用。 3.Webkit ...
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 390
在vue.config.js中配置关闭Uncaught runtime errors显示。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 544
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
最新发布
liyrbtqe_66w的博客
06-12 275
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
vue3如何定义一个组件
Java程序员专栏
06-09 573
注意在子组件的 <template> 中,你使用 {{ propName }} 来显示传递进来的参数值。在父组件中,你使用 :propName="parentMessage" 来将 parentMessage 数据的值绑定到子组件的 propName prop 上。当使用 <script setup> 语法糖时,你不能直接在 <script> 标签内使用 props 选项。在 Vue 3 中,定义一个可以接收参数的组件通常是通过在组件的 props 选项中定义这些参数来完成的。// 其他组件逻辑...
Web前端设计大赛:创意与技术的碰撞
huejiaqwerty888的博客
06-12 354
在这场竞赛中,参赛者们不仅需要展现出独特的创意,还需要运用精湛的技术将创意转化为实际作品。本文将从四个方面、五个方面、六个方面和七个方面,深入剖析Web前端设计大赛的魅力和挑战。交互设计是Web前端设计的核心环节。参赛者需要关注页面的加载速度、响应速度以及操作的便捷性等方面,确保用户在使用过程中能够获得良好的体验。参赛者需要敢于突破传统的设计理念和技术限制,尝试新的设计手法和技术应用。参赛者需要在创意构思、视觉呈现、交互设计、用户体验、技术实现、性能优化以及创新性和可实践性等方面进行全面考虑和精心打造。
安全测试中XSSCSRF的区别是什
05-20
XSS(Cross-Site Scripting)和 CSRF(Cross-Site Request Forgery)是Web应用程序中常见的安全漏洞,它们的区别在于攻击者的目标不同。 XSS漏洞通常是攻击者利用Web应用程序未能正确过滤用户输入的数据,将恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值