技术标签: 前端开发 前端安全 html5 html javascript
cross-site scripting,跨站脚本,通常简称为xss。
说白了就是攻击者想尽一切办法将可执行代码注入到网页中,而恶意代码未经过过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
外在表现上,都有哪些攻击场景?
有些同学可能觉得这种场景下,用户能输入的代码长度有限,根本构不成什么威胁,然后攻击者上可以通过引入外部脚本实现复杂攻击的。
具体从技术上分析,都有哪些xss攻击的类型呢?
1)存储型server
场景:常见于带有用户保存数据的网站功能,攻击者通过可输入区域来注入恶意代码,如论坛发帖、商品评论,用户私信等。
2)反射型server
存储型的恶意代码通过可输入区域,存储在数据库中,而反射型的恶意代码拼接在url上。需要用户主动打开恶意的URL才能生效。
场景:通过URL传递参数的功能,如网站搜索、跳转等。
3)DOM型server
DOM型xss攻击中,取出和执行恶意代码由浏览器端完成,属于签到JavaScript自身的安全漏洞,而其他两种xss都属于服务端的安全漏洞。
场景:通过URL传递参数的功能,如网站搜索、跳转。
如何防范xss攻击呢?
主旨:防止攻击者提交恶意代码,防止浏览器执行恶意代码。
1)对数据进行严格的输出编码:如HTML元素的编码、CSS编码、JS编码、URL编码等。
v-html/dangerouslySetInnerHTML2)CSP HTTP Header,即Content-Security-Policy(不支持CSP的旧版浏览器可以设置X-XSS-Protection)
Cross-site request forgery,跨站请求伪造
攻击者诱导受害者进入恶意网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
如何防范CSRF的攻击呢?
CSRF一般都是发生在第三方域名,攻击者无法获取到cookie信息,只是可以利用浏览器机制去适应cookie。
1)组织第三方域名的访问
request header中的origin referer等,来确定发送请求的站点是否上自己期望中站点。2)提交请求时附加额外信息
单线程
JavaScript的主要用途是用户互动,以及操作DOM。如果它是多线程的会有很多复杂的问题要处理,比如一个线程删除了当前DOM节点,一个要操作当前DOM节点,最后就不知道要以哪个线程的操作为准,为了避免这种情况,所以JS是单线程的。
非阻塞:通过event loop实现。
为什么要引入微任务,只有一种类型的任务不行吗?
页面渲染事件,各种IO的完成事件等随时被添加到任务队列中,一直会保持先进先出的原则执行,我们不能准确地控制这些事件被添加到任务队列中。但是这个时候突然有高优先级的任务需要尽快执行,那么一种类型的任务就不合适了,所以引入了微任务队列。
文章浏览阅读62次。在收集到初步的样本数据之后,接下来该考虑的问题有:(1)样本数据集的数量和质量是否满足模型构建的要求。(2)是否出现从未设想过的数据状态。(3)是否有明显的规律和趋势。(4)各因素之间有什么样的关联性。解决方案:检验数据集的数据质量、绘制图表、计算某些特征量等,对样本数据集的结构和规律进行分析。从数据质量分析和数据特征分析两个角度出发。_数据分析 规律集
文章浏览阅读8.9k次。关于桌面上图标都不见了这类问题的解决方法1、在桌面空白处右击鼠标-->排列图标-->勾选显示桌面图标。2、如果问题还没解决,那么打开任务管理器(同时按“Ctrl+Alt+Del”即可打开),点击“文件”→“新建任务”,在打开的“创建新任务”对话框中输入“explorer”,单击“确定”按钮后,稍等一下就可以见到桌面图标了。3、问题还没解决,按Windows键+R(或者点开始-->..._上传文件时候怎么找不到桌面图标
文章浏览阅读1.5k次。参考:http://blog.csdn.net/zahuopuboss/article/details/9259283 #include #include #include #include #include #include #include #include #include #include #include #include _怎么设置tun的接收缓冲
文章浏览阅读741次。创建一个inputView继承于UIView- (instancetype)initWithFrame:(CGRect)frame{ self = [superinitWithFrame:frame]; if (self) { self.backgroundColor = [UIColorcolorWithRed:0.13gre
文章浏览阅读149次。2:人像图上传成功后自动进入抠图页面,我们点击下方的“下载图片”,可将抠图后的人像图下载到电脑本地。3:图片下载成功后,效果如下图所示。如果对抠图要求较高,可以自行修改细节。1:在人像抠图页面,点击下方的“本地上传”,将本地人像图片添加上去。”官网输入关键词,搜索查找相关教程。如果你想了解更多好用的。
文章浏览阅读1k次,点赞23次,收藏21次。本实例为html+css+javascript代码。该实例里面有设置导航栏效果、动态轮播特效、DIV、Banner、表格、视频、注册、登录页面等实例比较全面,有助于各位大小朋友学习,本文以“成都”旅游为主题来设计实践,介绍如何通过从头开始设计旅游网站并将其转换为代码的过程。
文章浏览阅读1.4w次,点赞12次,收藏21次。VSCODE 实现远程GUI,显示plt.plot, 设置x11端口转发问题服务器 linux ubuntu16.04本地 windows 10很多小伙伴发现VSCode不能显示figure,只有用自带的jupyter才能勉强个截图、或者转战远程桌面,这对数据分析极为不方便。在命令行键入xeyes(一个显示图像的命令)会failed,而桌面下会出现:但是Xshell能实现X11转发图像,有交互功能,但只能用Xshell输入命令plot,实在不方便。其实VScode有X11转发插件!!方法_vscode远程ssh连接服务器 python 显示plt
文章浏览阅读529次。网络编程_javase套接字socket
文章浏览阅读3.3k次,点赞2次,收藏2次。element switch开关文字显示element中switch开关把on-text 和 off-text 属性改为 active-text 和 inactive-text 属性.怎么把文字描述显示在开关上?下面就是实现方法: 1 <el-table-column label="状态"> 2 <template slot-scope="scope">..._el-switch 不同状态显示不同字
文章浏览阅读785次。java后台发起请求使用的工具类package com.cennavi.utils;import org.apache.http.Header;import org.apache.http.HttpResponse;import org.apache.http.HttpStatus;import org.apache.http.client.HttpClient;import org.apache.http.client.methods.HttpPost;import org.apach_httprequestutil.httpget
文章浏览阅读137次。在前两节我们部署了App-V Server并且序列化了相应的软件,现在可谓是万事俱备,只欠东风。在这篇博客里面主要介绍一下如何部署客户端并实现应用程序的虚拟化。在这里先简要的说一下应用虚拟化的工作原理吧!App-V Streaming 就是利用templateServer序列化出一个软件运行的虚拟环境,然后上传到app-v Server上,最后客户..._app-v 客户端
文章浏览阅读4.6k次。实时视频传输方案汇总-java目录libstreamingh264jrtsp-h264-clientOpenFlowihmc-video-codecs目录libstreaminghttps://github.com/fyhertz/libstreamingIntroductionWhat it doeslibstreaming is an API that allows you, wi..._eclipse视频传输设计