摘要:
点击劫持是一种视觉欺骗的攻击手段。 嵌套一个iframe,然后将 iframe 设置为透明。在页面中透出一个按钮诱导用户点击。 防御方法有2种: 1. X-FRAME-OPTIONS 通过 Response Header 设置,表示哪些情况下才允许使用 iframe 展示自己 deny 表示该页面不 阅读全文
摘要:
csrf 是跨站点伪造请求,主要利用发请求,浏览器每次都会自动带上 cookie 这个特点。 下面我们看看例子: 例子一: 如果博客园有一个关注博主的api是get请求的话,那这里我新建一个恶意页面: 在访问这个页面那一瞬,img就会跨域get请求这个api,你不知不觉间同时也像博客园这个接口发送了 阅读全文
摘要:
frame frame 必须在 frameset 里,而 frameset 又不能和 body 共存(就是一旦存在 frame,就不能存在 body 了,因此这个基本每人使用) 推荐阅读:https://www.w3school.com.cn/tags/tag_frame.asp Iframe 我们 阅读全文
摘要:
之前介绍过csrf攻击,那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击,这种攻击和csrf不同的是,恶意脚本是注入到了用户要访问页面的本身,而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性(一般通过url) 举个栗子: 正常发 阅读全文