drawio是一款非常强大的开源在线的流程图编辑器,支持绘制各种形式的图表,提供了Web端与客户端支持,同时也支持多种资源类型的导出。
Izy发现,当我们通过第三方APP“快手”,将信息分享到微博时,信息内容就会造成一个XSS。当用户在ipad版微博客户端上查看这条微博的时候,即触发。我们这次的目的就是让这个存储型XSS变成蠕虫。
除了谷歌地图之外,可能很少有人知道谷歌的在线防灾地图(Google Crisis Map),它创建于2012年,Web架构更新缓慢,网站访问量相对较少。而作者就是通过在这个“老旧”的地图服务中,发现了XSS和依托其服务的google.org点击劫持漏洞。该篇Writeup也算是在“犄角旮旯”角落里发现漏洞的典型,我们一起来看看。
根据战略顾问NewVantage在2021年对大数据和人工智能高管的调查,目前92%的组织正在继续增加对成为数据驱动型组织的投资,数据分析也给公司带来了更大的收益。麦肯锡全球研究所(McKinsey Global Institute)的结论是,通过数据分析,企业获得新客户的可能性高出23倍,留住现有客户的可能性高出六倍,使用数据洞察和分析时盈利的可能性高出19倍。
点击劫持(用户界面纠正攻击、用户界面纠正攻击、用户界面纠正攻击)是一种恶意技术,它诱使Web用户点击与用户所点击内容不同的内容,从而可能在点击看似无害的网页时泄露机密信息或控制其计算机。 服务器没有返回x-frame-options头,这意味着该网站可能面临点击劫持攻击的风险。x-frame-options HTTP响应头可用于指示是否允许浏览器呈现框架或iframe中的页面。网站可以通过确保其内容不嵌入其他网站来避免点击劫持攻击
你好,我已经很久没有分享我最近的研究/发现了,但在这篇报道中,我将分享我发现的一个漏洞,这对我来说相当有趣,可能会改变你对 "SELF XSS "的看法。
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击! XSS分为:存储型 、反射型 、DOM型XSS
Posta是一款功能强大的跨文档信息安全搜索工具,广大研究人员可以使用Posta来研究跨文档的信息通信,它允许我们跟踪、探测和利用postMessage漏洞,而且还可以重放任何绑定窗口和浏览器之间的消息。
clickjacking攻击又称作点击劫持攻击。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。
一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号”.”来分隔,最后一个”.”的右边部分称为顶级域名(TLD,也称为一级域名),最后一个”.”的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。定义是这样的,在域名中包含两个点的,就叫二级域名,只包含一个点的,就是一级域名。
上篇文章大致分享了web端的拍照方案。一个是input,另外一个是getUserMedia方法,实际上它是webRtc的一个API。
图片/文件上传组是企业项目开发中必不可少的环节之一, 但凡涉及到用户模块的都会有图片/文件上传需求, 在很多第三方组件库(ant desigin, element ui)中它也是基础组件之一. 接下来笔者就来带大家从零实现一款图片/文件上传组件以及扩展出更强大的上传组件.
网站访问速度可以直接影响到网站的流量,而网站的访问量几乎与网站的利益直接挂钩,因此网站的速度问题成为企业及站长十分关注的问题。现在网站越来越多,不少朋友的网站打开速度很不理想。也许自己打开网站速度很快
前言 在本文中,我们探讨的对象是IE浏览器,尽管该浏览器略显老态,但是其用户还是很多的,所以不容忽视。我最近对MSRC感到很欣喜,因为他们正在将工作重心移至Edge浏览器、设计漏洞,甚至提高了漏洞赏金
前期准备 BWAPP下载 BWAPP玩法 参考这个下载文件 bWAPP直接下载安装包,解压后,到虚拟机里直接打开文件夹,就可以看到vmx文件,点开后,就打开啦, 在物理机或者虚拟机里输入: http://[ip]/bWAPP/login.php ip从bee-box的终端里ifconfig得到
最近,来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击,可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。
所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击。
最近在公司遇到了一个需求,别的团队的同事想将他们用 React 编写的工程作为子系统集成到我们已有的系统中,React 工程是基于 umi 框架编写的,我们的主系统是基于 jquery 框架实现的。其实他们本来是已经实现了 React 作为子系统集成到我们的主系统中的,但是他们是借助于 iframe 实现页面嵌入的,后来因为用户体验不佳、存在安全性问题等因素而不得不放弃这种方式的集成了。
在任何合法的前端开发团队中,提高可扩展性和敏捷性很少会成为头等大事。在处理大型、复杂的产品时,如何确保快速、频繁地交付同时包含后端和前端的功能?像后端那样将前端单体分解成许多更小的部分似乎是答案。如果执行得当,微前端可以提高团队的有效性和效率。就是这样。 微前端背后的想法是将网站或 Web 应用程序视为由独立团队拥有的功能的组合。每个团队都有自己关心和擅长的不同业务领域或任务。团队是跨职能的,从数据库到用户界面,端到端地开发其功能。 将较大的问题分解为较小的问题以提高敏捷性、可重用性和可扩展性一直是 IT
在前文中我们探讨了很多关于富文本引擎和协同的能力,在本文中我们更偏向具体的应用组件实现。在一些场景中比如组件库的文档编写时,我们希望能够有实时预览的能力,也就是用户可以在文档中直接编写代码,然后在页面中实时预览,这样可以让用户更加直观的了解组件的使用方式,这也是很多组件库文档中都会有的一个功能。那么我们在本文就侧重于React组件的实时预览,来探讨相关能力的实现。文中涉及的相关代码都在https://github.com/WindrunnerMax/ReactLive,在富文本文档中的实现效果可以参考https://windrunnermax.github.io/DocEditor/。
OpenLiteSpeed是由LiteSpeed Technologies开发和维护的高性能事件驱动的开源Web服务器。 在这篇文章中,我们将看到我们如何使用CyberPanel来启动和运行在OpenLiteSpeed的LSCache和WordPress只需点击几下。
感谢云游君提供的开源项目air-conditioner,如果GitHub抽风访问不了的话,可以在Gitee上拉取源码,我已经将大佬代码fork过来了。Gitee地址
这些日子写过不少爬虫,想说些自己对于爬虫的理解,与本文无关,仅想学爬取JavaScript页面的同学可跳过。
原文地址:https://blog.ascv.cn/archives/155.html
作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。 最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。 当然,防御这些劫持最好的方法还是从后端入手,前端能做的实在太少。而且由于源码的暴露,攻击者很容易绕过我们的防御手段。但是这不代表我们去了解这块
Web安全是前端开发人员经常忽略的主题。当我们评估网站的质量时,我们通常会查看性能,SEO友好性和可访问性等指标,而网站抵御恶意攻击的能力却常常被忽略。
在本文中,我们探讨的对象是IE浏览器,尽管该浏览器略显老态,但是其用户还是很多的,所以不容忽视。我最近对MSRC感到很欣喜,因为他们正在将工作重心移至Edge浏览器、设计漏洞,甚至提高了漏洞赏金,这看起来确实不错。
01 — 综述 2018年02月02日,Grammarly官方更新了Grammarly for Chrome 14.826.1446版本,其中修复了一个严重漏洞,在此之前的版本中此扩展能够向所有网站曝
在之前的文章中我经常提到一个臭名昭著的漏洞:Spectre 漏洞,详细可以了解下面这篇文章:
进入本站首页或者本文章时相信你已经看到我的音乐播放器了吧,想不想在自己网站也按照上呢?这个功能其实很简单,经过全百科网搜集已经为朋友们整理好了特别精简的播放器代码而且还是调用的网易云音乐哦
Apache Zeppelin解释器概念允许将任何语言/数据处理后端插入Zeppelin。 目前Apache Zeppelin支持许多解释器,如Apache Spark,Python,JDBC,Markdown和Shell。
俗话说得好,常在河边走,哪能不湿鞋?俗话又说了,出来混,早晚要还的。只是没想到自己还的这么快。就在之前的几篇关于MITM的笔记兼科普文刚发布不久,我自己就遭遇了一次中间人攻击。无奈由于技不如人,当时花了两天都没找到原因。不过吃一堑长一智,虽然丢了点个人信息,但总算明白了对方的手法。在此记录一下当时的排查过程,就当是为自己作个提醒吧。
在HTML中,文档类型声明是必要的。 所有的文档的头部,你都将会看到”DOCTYPE” 的身影。 这个声明的目的是防止浏览器在渲染文档时,切换到我们称为“怪异模式(兼容模式)”的渲染模式。 “DOCTYPE” 确保浏览器按照最佳的相关规范进行渲染,而不是使用一个不符合规范的渲染模式。
最近看了掘金刚上线的在线代码编辑器 “码上掘金”,突然想是不是自己也可以写一个在线代码编辑器。
做移动端的时候我们可以组件化,每个组件都可以是一个app单独运行,我们通过一个中间件将每个组件拉起,组合成想要的app。
html 语义化让页面的内容结构化,结构更清晰,便于对浏览器、搜索引擎解析;即使在没有样式 CSS 情况下也以一种文档格式显示,并且是容易阅读的;
Hello 大家好,我是来自字节跳动的郑仁杰,目前是公司微前端开源项目 Magic(https://github.com/bytedance/magic-microservices)的负责人及核心贡献者,今天我带来的分享主题是《面向未来与浏览器规范的前端 DDD 架构设计》,这次我们站在了一个与行业传统微前端解决方案完全不同的全新的视角去思考如何设计和实践前端微服务,如何更优雅的借助浏览器原生能力将微前端的粒度做到组件级别,期待能给大家带来不一样的收获和体验。
前言渗透过程中,有时候遇某些网站,明明检测到有xss漏洞,但是盲打以后,收到的cookie还是不能登录后台,大多数的原因都是因为对方的cookie关键参数开启了httponly,导致你获取到的cookie参数不全,所以没法登录。今天和大家分享一次绕过httponly拿后台的思路。我们经常会用<script>alert('1')&l
过年了,各公司都在晒年终奖、办年会。据说小米公司年会中,有免费装修房子的。我们这些可怜的程序员只能想办法装修装修自己的csdn博客了。那么作为csdn的一个忠实用户,今天我教大家如何免费的对自己的csdn博客进行装修。 1.添加打赏功能 之前我写过一篇关于csdn博客添加打赏功能的需求文章,地址:http://blog.csdn.net/xmtblog/article/details/50371814 虽然到目前为止csdn还没有实现,但是作为程序员我们可以间接的靠装修博客栏目来实现。 先看看效果:
支付是电子商务的最后一英里,只有顺利完成了支付,才能产生真正的业务价值。那么,对于商家来说,需要以最低的成本和最快的速度为用户提供最安全的支付功能。
针对 OAuth 服务器的一种潜在Attack是网络钓鱼Attack。这是Attack者创建一个看起来与服务授权页面相同的网页的地方,该页面通常包含用户名和密码字段。然后,Accacker可以通过各种手段诱骗用户访问该页面。除非用户可以检查浏览器的地址栏,否则该页面可能看起来与真正的授权页面完全相同,并且用户可以输入他们的用户名和密码。
有些项目中可能会遇到这样的需求, 需要在一个项目中嵌入其他的项目的页面或者功能.并且需要这两个页面之间能够进行交互. 本文主要介绍如何实现这种第三方应用的嵌入, 主要有以下几个方向: 1.iframe
Wyn Enterprise 作为平台型产品,能够满足企业用户安装即用的需要;同时,作为工具型产品,也能够非常方便的与其他系统进行集成,包括:报表/仪表板查看器、报表/仪表板设计器、单点登录、数据权限、文档管理等方面的集成需要。为增强业务系统的报表和BI分析能力,提供最直接的功能支撑。
之前我们提到了iframe跨域,今天我们在原有的基础之上进行“实例”的讲解。通过iframe跨域实现表单数据的提交。如果想了解iframe跨域,可以发送“iframe跨域”到“HTML5学堂”公众号。 为何提交数据还要跨域? 在使用iframe跨域之前,可能你的脑海中就出现了这样一个问题:为何提交表单数据还需要跨域呢? 首先我们要知道,网站的数据是存放在服务器上的,而当一个网站很大型,拥有很多的数据时,通常会进行分类,然后将不同类的内容放置在不同的子域名中。 表单数据的提交模式 今天会使用到MD5的知识,因
随着网络上的 Web 应用越来越多,为了提升安全性,现在跟安全性有关的 HTTP header 也是多到记不得。因为各种不同功能的 HTTP header 实在太多,所以这边想要介绍几个比较简单、好设定的安全性 headers ,只要把这些 headers 加进去,网站就会突然变安全哦~
安全涉及的领域很大, 我也仅仅是了解一些皮毛, 每次面试前都要找资料复习, 很麻烦。
数周前,在伦敦 Heathrow 机场等飞机的空闲中,我顺便处理了一些工作上的事情。不经意间发现 Github 在性能方面的一些问题,颇为诧异。通过新 tab 打开的页面,其加载速度竟然比直接点击链接打开的页面要快。不信请看视频(译者注:可能需要科学上网):GitHub link click vs new tab。
作为前端开发,在浏览器上打印算是一个比较常见的需求了。最简单的做法就是直接打印整个网页,在浏览器直接打印或者调用window.print()。 这样就能将当前页面整个打印出来了。 然而,实际上的需求往往都不是这样简单,它更多的可能是需要打印整个网页中的某一段“特定”的内容。
领取专属 10元无门槛券
手把手带您无忧上云