摘要：什么是中间人攻击 一般，一个http请求，是从客户端请求出去，再到达服务端。 但请求不是直接到达服务端的，因为网络上要经过很多"节点"，最后才会到达服务端。 举个例子 比如，平时用的fiddler工具。 当客户端发出请求后，请求就会先经过fiddler，然后再到达服务端（假设没有网络其他节点了)。 阅读全文

摘要：背景 有人问了个问题：这个不是XSS反射型漏洞？为什么？ 然后他发了个录屏给我看。 录屏主要内容是下面这样的： 正常在网站搜索什么，search接口就会返回搜索到的数据列表。 比如在网站中搜索"xss"，search接口就返回几条xss相关的数据。 他是这样做的： 他在网站中输入了"xss"，然后通 阅读全文

摘要：在转义后，有没有办法可以构造出XSS攻击？ 在转义后，有没有办法可以构造出XSS攻击？ 你觉得呢？ no 因为转义后，不管是转义html还是属性，都不能在浏览器端作为html标签来渲染，也不能闭合属性。 从而是没有办法继续构造转义后的XSS攻击。 所以，只能想办法通过绕过转义，来实现XSS攻击了。 阅读全文

摘要：有任何问题都可以留言咨询。 定义再理解 什么是xss反射型漏洞？ 这里有个核心思想，指的是用户输入了什么，那响应的内容肯定会包括什么。 比如用户输入了"testxss"，那响应的内容中，肯定要包括"testxss"。 如果响应的内容中不包括"testxss"，那这个就不属于xss反射型漏洞了。 闭合 阅读全文

摘要：有任何问题都可以留言咨询。 相对路径 凡是相对路径，都会被webpack处理。 以 . 开头，都会作为一个相对模块来解释。 比如：url(./test.png) 会被翻译为 require('./test.png')。 <img src="./test.png"> // 就会被编译为： h('img 阅读全文