同源策略 浏览器中有两个安全机制,一个浏览器沙盒(Sandbox),另一个就是同源策略(Same Origin Policy,简称SOP) ,下面介绍同源策略。同源是指 、`同域名 同端口`,必须三同,缺一不可。下面列举了一些例子,为方便读者了解哪些是属于同源,下面列举一些案例: 根据这个策略,a. ...
分类:
Web程序 时间:
2020-04-02 22:41:10
阅读次数:
107
参考资料:https://www.bilibili.com/video/BV1R4411u7Rk?t=442 dns解析被劫持 本地hosts文件被篡改,劫持到恶意网站;DNS解析服务器被篡改,解析到恶意网站。 引用第三方库的js等代码资源 第三方库的资源被攻击了,包含到自己网站中使用则也不安全 缓 ...
分类:
其他好文 时间:
2020-04-01 19:29:08
阅读次数:
74
XSS攻击的原理、方法、常用技巧, 相关防范措施 跨站脚本攻击(Cross Site Scripting,XSS) 漏洞在Web应用中很常见。攻击者可以通过XSS注入恶意代码(一般指为js程序)至受害者的浏览器,进而窃取受害者认证信息。 XSS注入有很多实现方式,可将XSS攻击大致分为存储型XSS、 ...
分类:
其他好文 时间:
2020-04-01 15:04:45
阅读次数:
245
端口服务入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆破/嗅探/弱口令 25 SMTP邮件服务 邮件伪造 53 DNS域名解析系统 域传送/劫持/缓存投毒/欺骗 67/68 dhcp服 ...
分类:
其他好文 时间:
2020-03-24 17:14:08
阅读次数:
117
XSS的中文名称叫跨站脚本,是WEB漏洞中比较常见的一种,特点就是可以将恶意HTML/JavaScript代码注入到受害用户浏览的网页上,从而达到劫持用户会话的目的。XSS根据恶意脚本的传递方式可以分为3种,分别为反射型、存储型、DOM型,前面两种恶意脚本都会经过服务器端然后返回给客户端,相对DOM ...
分类:
其他好文 时间:
2020-03-22 19:44:38
阅读次数:
72
测试例子 主要函数定义 716:Dep 发布者定义 767:Vnode 虚拟节点定义 922:Observer 劫持数据的函数定义 4419:Watcher 订阅者定义 5073:function Vue() 定义 数据劫持过程 Vue.prototype._init 中,在 后和 之前调用 ini ...
分类:
其他好文 时间:
2020-03-21 21:15:36
阅读次数:
57
区别 监听数据变化的实现原理不同 Vue 通过 getter/setter 以及一些函数的劫持,能精确知道数据变化,不需要特别的优化就能达到很好的性能 React 默认是通过比较引用的方式进行的,如果不优化(PureComponent/shouldComponentUpdate)可能导致大量不必要的 ...
分类:
其他好文 时间:
2020-03-16 10:05:03
阅读次数:
75
5.1 一个 input + v model 5.2 Object.defineProperty 内在 响应式原理 06 双向数据绑定原理01.html 5.3 数据双向绑定的原理简单实现 通过数据劫持来实现的 1. `` 2. 演示 : V == M 3. V = M 4. M = V 07 数据 ...
分类:
其他好文 时间:
2020-03-14 15:00:10
阅读次数:
50
1、问题现象 在Linux下使用Chrome的时候,经常会莫名奇妙弹出xdg-open窗口,如下图 点击"打开 xdg-open',会出现调用app的命令,像淘宝、优酷等等各种手机。但是由于是PC,没有安装手机APP,调用失败出现错误,如下图 2、原因分析 (1)网站问题:一开始我还以为是网站为了盈 ...
分类:
系统相关 时间:
2020-03-13 19:11:52
阅读次数:
253
为何要用https? http协议的缺点 通信使用明文,内容可能被窃听(重要密码泄露) 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造) 无法证明报文的完整性,有可能已遭篡改(运营商劫持) 用https能解决这些问题么? https是在http协议基础上加入加密处理和认证机制以及完整性保护,即ht ...
分类:
Web程序 时间:
2020-03-10 01:14:49
阅读次数:
86
