是否可以违反同源策略进行虚拟网络测试
是否可以违反同源策略进行虚拟网络测试
提问于 2012-04-10 18:42:50
我正在研究工作项目的同源策略
看起来同源策略是非常强的策略,不能被破坏吗?
我已经测试过iframes,CSS历史url hack作为破解它的可能方法。
我想知道是否有任何关于可能的测试的想法,无论它们在测试同源策略时是否有效。有没有关于如何在虚拟netkit环境中进行DNS重新绑定的简单教程?
谢谢
回答 1
Stack Overflow用户
回答已采纳
发布于 2012-04-11 01:52:04
首先,您应该关注同源策略(SOP)所包含的内容,Browser Secuirty Handbook是一个很好的资源。
话虽如此,网站有很多方法可以撤销SOP给予他们的保护。XSS就是一个很好的例子,因为它可以用来访问另一个域上的数据,the samy worm就是一个很好的例子。
跨站请求伪造攻击不受SOP的限制。其想法是,您可以发送请求,但不能读取响应。在这种攻击中,请求会产生副作用,比如更改用户的密码。
点击劫持是缺陷的另一个示例,其中事件(鼠标移动事件、单击事件、击键事件)被传递到另一个域,并可能导致问题。
然后人们故意绕过SOP,CORS和JSONP就是一个很好的例子。还有闪存的crossdomain.xml文件。
最后但并非最不重要的是,。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/10087227
复制相关文章
相似问题
腾讯云开发者
