document.referrer之隐藏来源
摘要:document.referrer document.referrer是用来获取跳转链接的来源,正规的解释是:referrer 属性可返回载入当前文档的文档的 URL。 实际中使用在 广告相关业务 中较多,包括推广等。 举个例子: 比如我们从百度中跳转到w3c,那我们从w3c中可以获取到referr
阅读全文
posted @ 2017-01-15 10:35
随笔分类 - Web安全
Web安全之XSS(Cross Site Scripting)深入理解
摘要:XSS的含义 XSS(Cross Site Scripting)即跨站脚本。跨站的主要内容是在脚本上。 跨站脚本 跨站脚本的跨,体现了浏览器的特性,可以跨域。所以也就给远程代码或者第三方域上的代码提供了通道。 一般弹窗攻击是无意义的。所以一般都会以脚本的形式嵌入页面。 而不只是 多发于有输入的页面,
阅读全文
posted @ 2016-12-18 17:04
事件的截获
摘要:1.事件截获原理 利用事件的捕获阶段,添加事件。 再利用触发事件元素(e.target)来判断(根据一定的标识或者某些特征)是否是我们需要劫持的dom。 2.具体拦截 这里使用id作为一个判断根据,真实场景中肯定不是这样的。 这里的特征是需要根据一定的规则去寻找的。(这里只是为了演示原理) 当我们点
阅读全文
posted @ 2016-10-03 18:43
页面嵌入dom与被嵌入iframe的攻防
摘要:1.情景一:自己的页面被引入(嵌入)至别人的页面iframe中 通过顶层框架的判断,得知自己所在的框架是否是顶层框架。来判断自己页面所在的情况。 知识点:不同域中的iframe不能相互访问。 比如我们的页面在别人的页面iframe中,我们的页面跟别人的页面就在不同的域中。 这时候我们通过window
阅读全文
posted @ 2016-09-26 11:37
