摘要：一、浏览器安全 1. 什么是 XSS 攻击？ （1）概念 XSS 攻击指的是跨站脚本攻击，是一种代码注入攻击。攻击者通过在网站注入恶意脚本，使之在用户的浏览器上运行，从而盗取用户的信息如 cookie 等。 XSS 的本质是因为网站没有对恶意代码进行过滤，与正常的代码混合在一起了，浏览器没有办法分辨 阅读全文

摘要：1、CSRF（Cross-site request forgery，跨站请求伪造） 如何攻击假设网站中有一个通过 Get 请求提交用户评论的接口，那么攻击者就可以在钓鱼网站中加入一个图片，图片的地址就是评论接口<img src="http://www.domain.com/xxx?comment=' 阅读全文

摘要：1、同源策略及解决跨域常用的方法 因为浏览器出于安全考虑，有同源策略。也就是说，如果协议、域名或者端口有一个不同就是跨域，Ajax 请求会失败。 我们可以通过以下几种常用方法解决跨域的问题 JSONPJSONP 的原理很简单，就是利用 <script> 标签没有跨域限制的漏洞。通过 <script> 阅读全文

摘要：一、什么是跨域 跨域是针对浏览器的“同源策略”提出的说法。之所以有“同源策略”这种模式是基于网络安全方面的考虑。所谓的同源策略关注三点： 协议（ http://www.baidu.com & https://www.baidu.com 协议不同，跨域） 域名（https://www.aliyun.c 阅读全文

摘要：Web 前端安全主要包括如下几种： CSRF跨站请求伪造 XSS跨站脚本攻击 webshell网站提权渗透 界面操作劫持 一、CSRF跨站请求伪造 它也成为 One Click Attack ，或者 Session Riding ，缩写为 CSRF ，是一种对网站的恶意利用，相对来说更加难以防范。原 阅读全文