随笔分类 - 浏览器相关
摘要:一、HTTP协议 1. GET和POST的请求的区别 Post 和 Get 是 HTTP 请求的两种方法,其区别如下: 应用场景: GET 请求是一个幂等的请求,一般 Get 请求用于对服务器资源不会产生影响的场景,比如说请求一个网页的资源。而 Post 不是一个幂等的请求,一般用于对服务器资源会产
阅读全文
摘要:一、浏览器安全 1. 什么是 XSS 攻击? (1)概念 XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。 XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨
阅读全文
摘要:1、CSRF(Cross-site request forgery,跨站请求伪造) 如何攻击假设网站中有一个通过 Get 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站中加入一个图片,图片的地址就是评论接口<img src="http://www.domain.com/xxx?comment='
阅读全文
摘要:1、同源策略及解决跨域常用的方法 因为浏览器出于安全考虑,有同源策略。也就是说,如果协议、域名或者端口有一个不同就是跨域,Ajax 请求会失败。 我们可以通过以下几种常用方法解决跨域的问题 JSONPJSONP 的原理很简单,就是利用 <script> 标签没有跨域限制的漏洞。通过 <script>
阅读全文
摘要:一、什么是跨域 跨域是针对浏览器的“同源策略”提出的说法。之所以有“同源策略”这种模式是基于网络安全方面的考虑。所谓的同源策略关注三点: 协议( http://www.baidu.com & https://www.baidu.com 协议不同,跨域) 域名(https://www.aliyun.c
阅读全文
摘要:一、加载流程 浏览器根据DNS服务器得到域名的IP地址 向这个 IP 的机器发送 HTTP 请求 服务器收到、处理并返回 HTTP 请求 浏览器得到返回内容 二、简单分析 例如在浏览器输入 https://www.baidu.com 的时候,首先经过 DNS 解析, https://www.baid
阅读全文
浙公网安备 33010602011771号