摘要: xss是前端经常会遇到的问题,由于页面中的js都执行在同一个上下文中,意味着一旦出现xss漏洞,攻击者就能享有和页面其它部分js同样的权利,能做任何事情 所以一般情况下我们都会对用户输入进行过滤,禁止任何js的执行。但有时由不得不嵌入第三方js,如Google Adsense,这时就只能完全信任它,而没有机制来避免它的恶意行为,另外还有一种方法是通过iframe嵌入,但这样又会遇到不少问题,如高度调整等,而且同样不能避免第三方的恶意行为,如使用ActiveX 是否还有其它方法呢? 文整理了facebook、google、microsoft、yahoo对于这个问题的解决方案,希望能给大家带来一些启发阅读全文
posted @ 2010-07-07 14:26 Justin 阅读(5905) 评论(0) 编辑
摘要: 这是张老图了,记得最早是02年的时候去听讲座,主讲好像是来自IBM的老外,讲的是RUP,只可惜过后除了这张图,什么都没记住!呵呵,从亲身经历证明了这张图的经典,这里留个念想吧!中文版的见这里:阅读全文
posted @ 2010-07-07 13:47 Justin 阅读(880) 评论(1) 编辑