要说JavaScript中最为强大的一个方法便是eval()方法呢,为何如此说呢?因为它就像是一个JavaScript解析器,也就是说它的参数就是一段js代码所构成的字符串,当执行这个函数的时候,会把参数里的字符串当成js代码运行. 比如:eval(alert("我是一个弹出框")),这一行代码就等价于alert("我是一个弹出框"). 这个方法会将执行结果插入到原位置.而实际上这个方法在执行参数中的js代码中,就包含了调用该执行环境,这也就是说在这个执行环境中有与…

xss漏洞 原理:信任了用户输入或控制的字段(url),回显(jQuery.html)到页面.导致script代码执行 后果:可以在页面执行任何hack代码,比如死循环.发送cookie.钓鱼.页面显示修改 防范: 只需要文字回显到页面,无html标签:用jquery.text代替jquery.html 只需要文字回显到页面,无html标签:jquery.html到页面之前做htmlDecode 若确实需要回显html如富文本编辑器(漂亮的东西总是脆弱的),优先调开源的富文本自己的显示接口(已做…

SQL注入 攻击原理 在编写SQL语句时,如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询中,那么攻击者可以通过注入其他语句来执行攻击操作,这些攻击包括可以通过SQL语句做的任何事:获取敏感数据.修改数据.删除数据库表等 攻击示例 假设我们的程序是一个学生信息查询程序,其中的某个视图函数接收用户输入的密码,返回根据密码查询对应的数据.我们的数据库有一个db对象表示,SQL语句通过execute()方法执行: @app.route('/students') def bobby_…

最近专注研究 jQuery Mobile —— 一款很方便就可以把 Web App 包装成适合 Android 与 iPhone 等触屏移动设备的 Javascript 库,结合 jQuery Mobile 与 HTML5 ,可以很方便的开发出一款具有良好界面及用户体验的 Web App,在这个过程中我收获良多,因此决定针对使用 jQuery Mobile 与 HTML5 开发 Web App 写一个系列的文章.在开始之前,我首先简述 Web App 与原生 App 各自的优缺点. 一. Web…

Web App简而言之就是为移动平台而优化的网页,它可以表现得和原生应用一样,并且克服了原生应用一些固有的缺点.一般而言Web App最大的入口是浏览器,但现在微信公众平台作为新兴的平台,结合其内置浏览器可以和Web App很好的结合,虽然现在还不够成熟,但有可能取代浏览器成为Web App第一大入口. (微信Web App示例) Web App的入口说白了就是一个链接,但是链接不符合移动端的输入方式,链接的分发成为难题,而微信公众平台有很多种方式可以发送链接. 一.微信公众账号发送链接的方法…

https://blog.csdn.net/ChenRui_yz/article/details/86489067 随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施.01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 程序员学架构mikechen优知02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的…

目录 前言 编码安全 反序列化命令执行 SQL 注入 跨站 XSS(Cross-site scripting) 跨站请求伪造 CSRF(Cross-site request forgery) URL跳转 文件安全 任意文件上传 任意文件下载 权限安全 垂直权限安全/纵向越权 水平权限安全/横向越权 信息安全 密码 个人敏感信息 验证码安全 参考资料 前言 安全无小事,成败在细节,网络有风险,灾难弹指间. 安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心.正因为安全看不见,所以往往…

最近时间又有了新的想法,当我用新的眼光在整理一些很老的知识库时,发现很多东西都已经过时,或者是很基础很零碎的知识点.如果分享出去大家不看倒好,更担心的是会误人子弟,但为了保证此系列的完整,还是选择分享出去,毕竟也是自己的成长过程,各取所好吧! 在分享知识库节点时,我会写清楚此知识库节点的入手级别,请大家根据需要下载,免得不必要的吐嘈.但我确定总有子节点对你有用,并且相信接下来的分享会更精彩,不了解前文请请移步:[知识库分享系列] 一.开篇 此篇文章是个提醒,文章内容本身没有什么技术含量,发到园子…

原文:http://msdn.microsoft.com/zh-cn/magazine/hh708755.aspx 一.跨站点脚本 简介 XSS 攻击是指将脚本恶意注入用户的浏览会话,这通常在用户不知情的情况下发生. 因为一些事故的发生,许多人已经非常熟悉这些类型的攻击,在这些事故中,某大型社交网站受到攻击,其用户发布了他们未授权的消息. 如果攻击者发布恶意脚本并且他可以让浏览器执行该脚本,则该脚本将在受害者会话的上下文中执行,这基本上使攻击者能够对 DOM 执行其所需的任何操作,包括显示伪造的…

1.简单说明 Referer.origin用来表明,浏览器向WEB服务器表明自己来自哪里.但是就它本身而言,并非完全安全. 写一个例子,可以任意修改http信息头中的referer.origin 2.准备: 用httpClient4.0来具体实现 3.Java修改http信息头referer.origin的源代码 代码非常简单,就是修改了http头的referer.origin. 配套示例的jsp在:http://blog.csdn.net/ffm83/article/details/44095…