摘要:
HTML5安全HTML5新标签的XSS如video,audio标签, 如果网站,没有进行过滤的话,就麻烦了。iframe的sandbox.有一个新的属性sandbox,可以将内容视为一个独立的“源”。有好多个属性。如下所示allow-same-origin:允许同源访问allow-top-navigation:允许访问顶层窗口allow-forms:允许提交表单allow-scripts:允许执行脚本。Link Types:norefere可以在a标签上指,不再发送noreferercanvas的妙用canvas的强大功能,甚至可以用来破解验证码!大大降低了攻击的门槛。cross-origin 阅读全文
摘要:
点击劫持(ClickJacking)点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的,不可见的iframe覆盖网站 上,然后诱使用户进行操作。可以是iframe, flash,图片等常用的元素。拖拽劫持与数据窃取(以前没有听说过)目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时,就带走了数据。触屏劫持智能手机的“触屏劫持”,与PC类似。如何防御?iframe busting禁止iframe的被嵌套if( top.locaiton != location){ top.location = self.location }注:这是可以被绕过的!!.. 阅读全文
摘要:
跨站点请求伪造(CSRF)全名:cross site request forgeryCSRF简介用户先访问一个页面。然后再访问一个自己域下构造的一个页面。其中有一个img标签,标签中,有用于删除的链接。成功了。攻击者诱使用户访问了一个页面,然后以些用户身份在第三方站点里执行一个操作。因为cookie会携带。浏览器的cookie策略浏览器的cookie分为两种Session Cookie也称为临时cookieThird-party Cookie,也称为为本地cookie两者的区别在于,Third-party cookie是服务器在set-cookie里指定了expire时间,只有到了exire时 阅读全文