技术标签: 前端开发 前端安全 html5 html javascript
cross-site scripting,跨站脚本,通常简称为xss。
说白了就是攻击者想尽一切办法将可执行代码注入到网页中,而恶意代码未经过过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
外在表现上,都有哪些攻击场景?
有些同学可能觉得这种场景下,用户能输入的代码长度有限,根本构不成什么威胁,然后攻击者上可以通过引入外部脚本实现复杂攻击的。
具体从技术上分析,都有哪些xss攻击的类型呢?
1)存储型server
场景:常见于带有用户保存数据的网站功能,攻击者通过可输入区域来注入恶意代码,如论坛发帖、商品评论,用户私信等。
2)反射型server
存储型的恶意代码通过可输入区域,存储在数据库中,而反射型的恶意代码拼接在url上。需要用户主动打开恶意的URL才能生效。
场景:通过URL传递参数的功能,如网站搜索、跳转等。
3)DOM型server
DOM型xss攻击中,取出和执行恶意代码由浏览器端完成,属于签到JavaScript自身的安全漏洞,而其他两种xss都属于服务端的安全漏洞。
场景:通过URL传递参数的功能,如网站搜索、跳转。
如何防范xss攻击呢?
主旨:防止攻击者提交恶意代码,防止浏览器执行恶意代码。
1)对数据进行严格的输出编码:如HTML元素的编码、CSS编码、JS编码、URL编码等。
v-html/dangerouslySetInnerHTML2)CSP HTTP Header,即Content-Security-Policy(不支持CSP的旧版浏览器可以设置X-XSS-Protection)
Cross-site request forgery,跨站请求伪造
攻击者诱导受害者进入恶意网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
如何防范CSRF的攻击呢?
CSRF一般都是发生在第三方域名,攻击者无法获取到cookie信息,只是可以利用浏览器机制去适应cookie。
1)组织第三方域名的访问
request header中的origin referer等,来确定发送请求的站点是否上自己期望中站点。2)提交请求时附加额外信息
单线程
JavaScript的主要用途是用户互动,以及操作DOM。如果它是多线程的会有很多复杂的问题要处理,比如一个线程删除了当前DOM节点,一个要操作当前DOM节点,最后就不知道要以哪个线程的操作为准,为了避免这种情况,所以JS是单线程的。
非阻塞:通过event loop实现。
为什么要引入微任务,只有一种类型的任务不行吗?
页面渲染事件,各种IO的完成事件等随时被添加到任务队列中,一直会保持先进先出的原则执行,我们不能准确地控制这些事件被添加到任务队列中。但是这个时候突然有高优先级的任务需要尽快执行,那么一种类型的任务就不合适了,所以引入了微任务队列。
文章浏览阅读8.6k次。一、Linux记录用户登录信息文件1 /var/run/utmp----记录当前正在登录系统的用户信息;2 /var/log/wtmp----记录当前正在登录和历史登录系统的用户信息;3 /var/log/btmp:记录失败的登录尝试信息。二、命令用法1.命令last,lastb---show a listing of la_怎么记录linux设备 发声的登录和登出
文章浏览阅读167次。摘要:1. 简介 2. 公园迷宫漫步 3. 无线迷宫与最短(不加权)路径问题 4. 强连通分量1. 简介在计算机科学裡,树的遍历(也称为树的搜索)是圖的遍歷的一种,指的是按照某种规则,不重复地访问某种樹的所有节点的过程。具体的访问操作可能是检查节点的值、更新节点的值等。不同的遍历方式,其访问节点的顺序是不一样的。两种著名的基本遍历策略:深度优先搜索(DFS) 和 广度优先搜索(B...
文章浏览阅读591次。提起报表,大家会觉得即熟悉又陌生,好像常常在工作中使用,又似乎无法准确描述报表。今天我们来一起了解一下什么是报表,报表的结构、构成元素,以及为什么需要报表。什么是报表简单的说:报表就是通过表格、图表等形式来动态显示数据,并为使用者提供浏览、打印、导出和分析的功能,可以用公式表示为:报表 = 多样的布局 + 动态的数据 + 丰富的输出报表通常包含以下组成部分:报表首页:在报表的开..._activereports.net 实现查询报表功能
文章浏览阅读6.6k次。最近实验室需要用Cadence,这个软件的安装非常麻烦,每一次配置都要几个小时,因此打算把Cadence装进Docker。但是Cadence运行时需要GUI,要对Docker进行一些配置。我们实验室的服务器运行的是Ubuntu18.04,默认桌面GNOME,Cadence装进Centos的Docker。安装Ubuntu18.04服务器上安装Ubuntu18.04的教程非常多,在此不赘述了安装..._docker xrdp ubuntu
文章浏览阅读1.8k次,点赞2次,收藏2次。首先导入头文件#import 导入头文件后创建几个相机必须实现的对象 /** * AVCaptureSession对象来执行输入设备和输出设备之间的数据传递 */ @property (nonatomic, strong) AVCaptureSession* session; /** * 输入设备 */_ios avcapturestillimageoutput 兼容性 ios17 崩溃
文章浏览阅读982次。按照OracleDocument中的描述,v$sysstat存储自数据库实例运行那刻起就开始累计全实例(instance-wide)的资源使用情况。 类似于v$sesstat,该视图存储下列的统计信息:1>.事件发生次数的统计(如:user commits)2>._oracle v$sysstat视图
文章浏览阅读7.6k次,点赞2次,收藏9次。我最近做SPA项目开发动态树的时候一直遇到以下错误:当我点击文章管理需要跳转路径时一直报NavigationDuplicated {_name: “NavigationDuplicated”, name: “NavigationDuplicated”}这个错误但是当我点击文章管理后,路径跳转却是成功的<template> <div> 文章管理页面 <..._navigationduplicated {_name: 'navigationduplicated', name: 'navigationduplic
文章浏览阅读3.9k次。版本VoiceEngine 4.1.0舒适噪音生成(comfort noise generator,CNG)是一个在通话过程中出现短暂静音时用来为电话通信产生背景噪声的程序。#if defined(WEBRTC_ANDROID) || defined(WEBRTC_IOS)static const EcModes kDefaultEcMode = kEcAecm;#elsestati..._webrtc aecm 杂音
文章浏览阅读6.3k次,点赞9次,收藏19次。医学成像原理与图像处理一:概论引言:本系列博客为医学成像原理与图像处理重要笔记,由于是手写,在此通过扫描录入以图片的形式和电子版增补内容将其进行组织和共享。前半部分内容为图像处理基础内容,包括图像的灰度级处理、空间域滤波、频率域滤波、图像增强和分割等;后半部分内容为医学影象技术,包括常规胶片X光机、CR、DR、CT、DSA等X射线摄影技术、超声成像技术、磁共振成像(MRI)技术等。本篇主要内容是概论。_医学成像与图像处理技术知识点总结
文章浏览阅读591次,点赞13次,收藏10次。notepad++ v8.5.3 安装插件,下载进度为0_nodepa++
文章浏览阅读2.1w次。用spark执行SQL保存到Hive中: hiveContext.sql("insert overwrite table test select * from aaa")执行完成,没报错,但是核对结果的时候,发现有几笔数据超出指定范围(实际只包含100/200)最终排查到是ret_pay_remark 字段包含换行符,解决方案:执行SQL中把特殊字符替换掉regexp_replace(..._hive sql \n
文章浏览阅读520次,点赞10次,收藏8次。印象笔记05:如何打造更美的印象笔记超级笔记本文介绍印象笔记的具体使用,如何打造更美更实用的笔记。首先想要笔记更加好看和实用,我认为要使用超级笔记。所谓超级笔记就是具有很多便捷功能的笔记。_好的印象笔记怎么做的