随笔分类 -  前端安全

摘要：简介点击劫持（click jacking）也被称为 UI 覆盖攻击。它通过不可见框架底部的内容误导受害者点击，虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 原理这种攻击利用了HTML中<iframe>标签的透明属性。 在 HTML 中，我们可以 阅读全文

摘要：转载地址：http://www.phpddt.com/reprint/csrf.html CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解： 攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这 阅读全文

摘要：XSS 全称是跨站脚本攻击 通过代码注入的方式来达到攻击的目的。 xss攻击是有一定前提的， 1、服务器渲染，用户录入的内容直接由服务端拼接到页面中且未做特殊字符转译操作 2、<script>xxxx</script>这种录入攻击只能基于将文本解析由element.createElement生成do 阅读全文

摘要：如果后台人员使用用户输入的数据来组装SQL查询语句的时候不做防范， 遇到一些恶意的输入， 最后生成的SQL就会有问题 比如地址栏输入的是： articlrs/index.php?id=1 发送一个get请求， 调用的查询语句是： sql = "SELECT * FROM articles WHERE 阅读全文