随笔分类 - 前端
前端知识,前端攻击利用
摘要:HTTP Leak攻击简介 当前Web技术下包含了大量HTML元素和属性,这些HTML元素和属性会请求一些外部资源,而在它们的HTTP请求过程中,可能存在潜在的敏感信息泄露。为此,德国著名网络安全公司Cure53发起了名为HTTP Leaks的攻击方法研究项目(项目参见Github -HttpLea
阅读全文
摘要:jsfuck真的fuck,第一眼就是WTF?? Example The following source will do an alert(1): [][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+
阅读全文
摘要:概念 单字节字符集: 所有的字符都使用一个字节来表示,比如 ASCII 编码。 多字节字符集: 在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。 两位的多字节字符有一个前导字节和尾字节。 在某个多字节字符集内,前导字节位于某个特定范围内,尾字节也一样。 UTF-8
阅读全文
摘要:1、iframe的srcdoc属性 先演示一下 浏览器渲染后 srcdoc 是 HTML5 中的新属性。 定义 srcdoc 属性规定要显示在内联框架中的页面的 HTML 内容。 语法 2、反引号 这个可以参考“javascript模板字符串”
阅读全文
摘要:前面介绍了javascript的模板字符串的基本知识,今天深入学习一下标签函数 模板字符串概述 这里先简单说一下模板字符串的概念 1、模板字符串,从名字上可以得出其实返回的是字符串,普通使用其实就想引号一样的使用,只是加了一些功能 注:先这些实验例子都是自浏览器控制台中测试的。 当做引号使用,返回字
阅读全文
摘要:模板字面量 是允许嵌入表达式的字符串字面量。 你可以使用多行字符串和字符串插值功能。它们在ES2015规范的先前版本中被称为“模板字符串”。 语法 描述 模板字符串使用反引号 () 来代替普通字符串中的用双引号和单引号。模板字符串可以包含特定语法(${expression})的占位符。占位符中的表达
阅读全文
摘要:0x00 简介 由于浏览器的同源策略,我们想要从别的域获取数据变得困难,需要特殊的技术才能获取 0x01 使用 客户域:client.com 服务器(他域):server.com 如客户想访问 : http://server.com/try/ajax/jsonp.php?jsonp=callback
阅读全文
摘要:0x00 简介 Service Worker 是 Chrome 团队提出和力推的一个 WEB API,用于给 web 应用提供高级的可持续的后台处理能力。该 WEB API 标准起草于 2013 年,于 2014 年纳入 W3C WEB 标准草案,当前还在草案阶段。 Service Worker 最
阅读全文
摘要:0x00 XSS Rootkit介绍 Rootkit概念: 一种特殊的恶意软件 类型: 常见为木马、后门等 特点: 隐蔽 持久控制 谈到XSS,一般都是想到反射型、存储型及dom xss,脑海中往往就是点击链接然后弹窗的形式,这次学习的是ROORKIT XSS(持久化XSS),就是通过某些手段嵌入一
阅读全文