simonbaker

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢 背景 先是折腾了xssstrike，发现貌似有点不够强大。网上搜寻了一番，发现burp suite不错，可惜是收费的，但还是想折腾下。 入坑 先上结论：不行搜个破解版试试。找到这篇文章A，看起来还可以，就按照它说的步骤，搞了下，结果不行。反正 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢 问题 场景是这样的：实例开通页面分为两步，第一步是基本信息页面，填写名称和选择三个节点规格类型的单选框，然后点击下一步。 所以需要在点击下一步的时候，对当前输入的值和选择的单选框进行校验。 但有个问题是这样的：如果选择了单机版，则只能选择服务 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢 扫描反射型 先构造反射型代码： <template> <div> <div v-html="name"></div> <el-input v-model="reflectionInputValue"></el-input> <el-butto 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢 github clone 首先是把项目克隆到本地，执行如下命令：git clone https://github.com/s0md3v/XSStrike此时可用编辑器打开XSStrike项目。 安装依赖包 然后就是执行安装依赖包命令。通过py 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢 来源和问题 在添加主机和修改密码的弹窗中，都有相同的“测试连通及硬件检测”的功能。 如下截图所示： 目前的实现方式是，分别在两个弹窗中各自写的代码。 那能否抽出来做一个公用的组件呢？ 因为测试连通的按钮，点击后执行的代码确实比较多，大概40行 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢。 前言 JSON注入攻击，一般有客户端注入攻击和服务端注入攻击两种。 这里讲的是客户端注入攻击。 至于什么是JSON，这里就不啰嗦讲解了。 示例 在输入框输入json，点击按钮，就会把json显示到页面上。 代码： <template> <d 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢。 问题 有个朋友问了个问题：为啥vue中的v-html不会执行<script>中的js代码？ 比如，给v-html赋予下面这个值，虽然看到DOM中有值，但却不会弹窗。 <script>alert(/xss/)</script> 解释 可能他还 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢。 定义 window.origin 该属性是只读的。 origin的值是当前页面环境的源。 当源不是http和https协议，比如是file协议，则返回的值是null。 window.location.origin 该属性也是只读的。 表示的 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢。 DOM事件触发顺序 遵循两个原则：1、先触发捕获阶段，然后到目标阶段，最后到冒泡阶段2、目标阶段，按照代码顺序来触发，不区分捕获和冒泡 Demo 代码 <head> <meta charset="utf-8"> <title>事件流</ti 阅读全文

摘要： 文章不易，请关注公众号 毛毛虫的小小蜡笔，多多支持，谢谢。 首先，referer的写法是错的，正确的是referrer。大概是早期http规范的拼写错误，然后为了保持向下兼容，就将错就错了。 九种policy enum ReferrerPolicy { "", "no-referrer", "no- 阅读全文