摘要:
本文原创作者:bgusko63190,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00. 引言 我曾做过一个调查,看看网友们对关于X XSS Protection 字段的设置中,哪一个设置是最差的,调查结果令我非常吃惊,故有此文。 网友们认为 最差的配置是X XSS Protection 阅读全文
摘要:
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 阅读全文
摘要:
背景 在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下: image.png 原因 这是因为帖子详情页不支持 阅读全文
摘要:
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击 阅读全文
