摘要： HTML5安全HTML5新标签的XSS如video，audio标签, 如果网站，没有进行过滤的话，就麻烦了。iframe的sandbox.有一个新的属性sandbox,可以将内容视为一个独立的“源”。有好多个属性。如下所示allow-same-origin:允许同源访问allow-top-navigation:允许访问顶层窗口allow-forms:允许提交表单allow-scripts:允许执行脚本。Link Types:norefere可以在a标签上指，不再发送noreferercanvas的妙用canvas的强大功能，甚至可以用来破解验证码！大大降低了攻击的门槛。cross-origin 阅读全文

摘要： 点击劫持（ClickJacking）点击劫持是一种视觉上的欺骗手段。攻击都使用一个透明的，不可见的iframe覆盖网站 上，然后诱使用户进行操作。可以是iframe, flash,图片等常用的元素。拖拽劫持与数据窃取（以前没有听说过）目前很多的浏览器都支持Drag&Drop的API。此API是没有安全限制的。用户拖拽时，就带走了数据。触屏劫持智能手机的“触屏劫持”，与PC类似。如何防御？iframe busting禁止iframe的被嵌套if( top.locaiton != location){ top.location = self.location }注：这是可以被绕过的！！.. 阅读全文

摘要： 跨站点请求伪造(CSRF)全名：cross site request forgeryCSRF简介用户先访问一个页面。然后再访问一个自己域下构造的一个页面。其中有一个img标签，标签中，有用于删除的链接。成功了。攻击者诱使用户访问了一个页面，然后以些用户身份在第三方站点里执行一个操作。因为cookie会携带。浏览器的cookie策略浏览器的cookie分为两种Session Cookie也称为临时cookieThird-party Cookie，也称为为本地cookie两者的区别在于，Third-party cookie是服务器在set-cookie里指定了expire时间，只有到了exire时 阅读全文