如果你还想从头学起Selenium,可以看看这个系列的文章哦!...= 小菠萝测试笔记 __Blog__ = https://www.cnblogs.com/poloyy/ """ from selenium import webdriver # 加载驱动,路径自己配置.../resources/chromedriver.exe") # html页面路径需要自己配置 driver.get( "file:///F:/iframe.html") driver.maximize_window...(iframe1) # 找到iframe中页面的元素 # 找到搜索框 inputElement = driver.find_element_by_id("kw") # 输入搜索内容 inputElement.send_keys...和上面说的效果一样,只是这个已经过时了,不建议用!
如果对以上描述还不是很了解的话,可以参考百度百科 在余弦大大和xisigr大大的书籍《Web 前端安全技术揭秘》第三章中这样说道: 跨站脚本的重点不在“跨站”上,而应该在“脚本”上...因为这个“跨”...不同路径 这是由于 path 字段的机制导致的。在设置 Cookie 时,如果不指定 path 的值,默认就是目标页面的路径。...javascript 可以指定任意路径的 cookie,但是只有对于 path 值的目录下才能读取 Cookie, 即上述例子中只有/admin/目录下的 javascipt 才能读取前边设置的 Cookie...设想一下,如 mail.qq.com 的页面存在 XSS 漏洞,攻击者通过 iframe 替换了原来的页面成钓鱼页面,并且网页的 Url 还是原来的页面,你是否能察觉出来?...前者相对于后者更隐蔽。 Iframe 攻击者通过 javascript 来添加一个新的Iframe>标签嵌入第三方域的内容(钓鱼网页),此时主页面仍处于正常页面下,具有极高的迷惑性。
一、今天总结一下js中几个对象的区别和用法: 1."window.location.href"、"location.href"是本页面跳转 2."...window.top.location.href"是最外层的页面跳转 二、举例说明: 如果A,B,C,D都是jsp,D是C的iframe,C是B的iframe,B是A的iframe,如果D中js这样写...三、重点看看window.parent与window.openner区别 window.parent 是iframe页面调用父页面对象,当我们想从iframe内嵌的页面中访问外层页面是可以直接利用...="getpValue();"> 四、下面来举几个常用的例子: parent.window与top.window一般在分割的页面即 frameset或iframe中使用...:window.parent.MainForm.form1.text1.value; window.opener主要是获得通过超链接或者 window.open() 打开本身页面的页面的一些,比如获得值
原代码中 10 表示 10秒。 2,怎么改变滚动条的颜色,只有ie5.5版本以上才能支持。 这是使用CSS语言,在次说明一下,它和我的浏览器版本有一定的关系。...window.open (`page.html`) 用于控制弹出新的窗口page.html,如果page.html不与主窗口在同一路径下,前面应写明路径,绝对路径(http://)和相对路径(../)均可...="1" frameborder="1" scrolling="Yes"> iframe> src="iframe.html" 用来显示IFRAME>中的网页来源,必要加上相对或绝对路径。...window.open (`page.html`) 用于控制弹出新的窗口page.html,如果page.html不与主窗口在同一路径下,前面应写明路径,绝对路径(http://)和相对路径(../)均可...="1" frameborder="1" scrolling="Yes"> iframe> src="iframe.html" 用来显示IFRAME>中的网页来源,必要加上相对或绝对路径。
如果你还想从头学起Appium,可以看看这个系列的文章哦!...web页面,它使用的内核是 引擎,Android 4.4版本之后,直接使用 Chrome 作为内置网页浏览器 webkit 简单理解:就是App 中内嵌了一个浏览器 类比:Web 浏览器里面的 iframe...针对 webview 自动化测试 其实满简单的,和Selenium 切换至 iframe 差不多的顺序,先看看伪代码的步骤 查看app 当前有哪些的 context 要了解app 原生控件的 context...一样,iframe 是独立的一个作用域,所以要切换到 iframe,才能对iframe里面的元素进行操作 原生app控件的 context 名字是啥?...# 指定chromedriver路径 需要自己改成自己的 'chromedriverExecutableDir': r'C:\Users\user\Desktop\py\sq_appium
ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250 描述:网页中包含 IFRAME 标签,并且暴露了 URL 中 IFRAME 的参数,导致网页中存在该漏洞...该函数预先考虑一下反斜杠字符:\x00 , \n , \r , \ ,' , " 和 \x1a。 ? 4、升级到安全代码之后,可以发现不再存在 sql 注入漏洞,因此修复了该漏洞。 ? 6....3、同时也可以用相对路径的方式获取更多目录信息,了解目录架构能够让恶意攻击者获取非常多的信息,比如 directory=../../../../ 能够直接查看服务器根目录的信息。 ?.../etc/passwd,目录路径可以通过实验获取错误信息来找到,比如通过递归方式遍历目录路径。这样就可以直接分析目录结构(比如利用某些目录下的遍历漏洞),找到需要的文件的相对路径。...2、任何用户提交的 file 参数在通过 show_file 函数之前都没有进行检查,没有判断其是否是相对路径的格式,因此到来了该漏洞。 ?
0x02 通过document.domain跨域 前面说过了,浏览器有一个同源策略,其限制之一是不能通过ajax的方法去请求不同源中的文档。...0x03 通过location.hash跨域 因为父窗口可以对iframe进行URL读写,iframe也可以读写父窗口的URL,URL有一部分被称为hash,就是#号及其后面的字符,它一般用于浏览器锚点定位...POST", "/damonare",true); xhr.send(); 以上damonare部分是相对路径,如果我们要使用CORS,相关Ajax代码可能如下所示: <...xhr.open("GET", "http://segmentfault.com/u/trigkit4/",true); xhr.send(); 代码与之前的区别就在于相对路径换成了其他域的绝对路径...iframe.src = 'about:blank'; }; 或者将里面的 about:blank 替换成某个同源页面(about:blank,javascript: 和 data: 中的内容,继承了载入他们的页面的源
ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250 描述:网页中包含 IFRAME 标签,并且暴露了 URL 中 IFRAME 的参数,导致网页中存在该漏洞...): 2、通过抓包可以发现 IFRAME 标签中的 URL 被当作新的 http 请求头发起请求,通过如下的 header 函数发送 http 请求头: 3、在 IFRAME 标签中作如下图所示的修改就能避免该问题...该函数预先考虑一下反斜杠字符:\x00 , \n , \r , \ ,’ , ” 和 \x1a。 4、升级到安全代码之后,可以发现不再存在 sql 注入漏洞,因此修复了该漏洞。 6....3、同时也可以用相对路径的方式获取更多目录信息,了解目录架构能够让恶意攻击者获取非常多的信息,比如 directory=../../../../ 能够直接查看服务器根目录的信息。.../etc/passwd,目录路径可以通过实验获取错误信息来找到,比如通过递归方式遍历目录路径。这样就可以直接分析目录结构(比如利用某些目录下的遍历漏洞),找到需要的文件的相对路径。
这可能因为不是web app的开发者这么写的,而是使用了相同的web平台,把相对URL处理成绝对路径的时候是基于Host头的。...明显采用相对路径的URL资源没有正确加载。 我们可以在浏览器console下面可以进行验证: ? 此页面的域是损坏的,这便是为什么采用相对路径加载资源会失败了。cookie也因此无法获取。...想到的最好的利用方法便是iframe了,我们可以找个在header中"X-Frame-Options"限制宽松的站进行测试。 原作者的示例如下: ?...我们发现经过一系列混淆,浏览器会加载以iframe的父页面为baseURL的资源,导致了加载错误。 同样我也在线上验证了这种情况: ? 同理,相对路径加载资源导致这种情况。...可以使用GET 和 POST的HTTP请求方法,使用302或者307进行跳转 在iframe中,base URL继承自父页面,奇怪的是至今<base href=被完全忽略了 JS是在blank域下执行的
AppCache 的利用 在提示中,我们很明显可以看到cache这个提示,这里的提示其实是说,利用appcache来加载svg的方式。 在这之前,我们可能需要了解一下什么是Appcache。... 这里的example.appcache可以是相对路径也可以是绝对路径,清单文件的结构大致如下: CACHE MANIFEST # 2010-06-18:v2 # Explicitly...${document.cookie}`) 然后将manifest设置为相对目录的svg文件路径,形似 面的文章会转化为 iframe width="0" height="0" src="https://h4x0rs.space/blog/untrusted_files/embed/embed.php...x-javascript, application/javascript中的一种。
最近在网站上线时,安全检查发现了一些网站的漏洞,这里写篇文章把常见的漏洞记录一下,这个是第二篇。# 一:检测到目标服务器上存在web应用默认目录## 描述:web应用架构中的目录都采用常见的目录名。...攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。...通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。...HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。...如果攻击者获取到这些信息,可以了解目标服务器目录结构,给攻击者带来便利,如上传文件到服务器的其他目录。## 解决方案:如果是正常页面中包含路径信息,如果不需要该路径信息,删除该信息。
-- 可能你看不到边框 --> /> 的"> 这里我们简单讲一下Web中的路径问题: 在web 中路径分为相对路径和绝对路径两种 相对路径...border 设置表格标签 width 设置表格宽度 height 设置表格高度 align 设置表格相对于页面的对齐方式 cellspacing 设置单元格间距 tr 是行标签 th 是表头标签 td...同样的,可粘贴后自己运行体验一下啊!...+请求参数] 请求参数的格式是:name=value&name=value 2、不安全 3、它有数据长度的限制 POST 请求的特点是: 1、浏览器地址栏中只有action 属性值 2、相对于...POST 的安全性更加,因为在页面地址栏中被提交的数据是不可见的。 刚才的代码是不能正常提交,下面的代码经过修改时可以提交的,仔细观察一下有什么区别。
安装配置很简单,只需要下载对应的版本后将chromedriver.exe文件复制python路径下的Scripts路径下即可。 2.0、配置完成后我们来简单实例一下 ?...print(browser.page_source)输出获取页面的源代码,即百度页面的源代码。...browser.refresh()刷新浏览器 clear()清除文本 获取的百度源代码图: ? 3.0、我们在获取到页面后同样需要获取到节点,然后才能继续后面的操作。继续实例一下。...title current_url 获取当前页面的url location 获取元素的相对位置 tag_name 获取标签名 以百度为例: ?...7.0、切换表单 在Web应用中经常会遇到frame/iframe表单嵌套页面的应用,Selenium打开页面后默认在frame中找节点,也就是说,我们找不到iframe的节点。
主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过引入相对路径来引入其他资源文件,以达到我们的目的。...可以看到,编码前后访问的 css 文件路径改变,index.php 路径没有改变,由此可见服务器在访问相对路径文件时的差异是以最后一个可用的 / 作为根目录 这句话我看资料的时候一直不懂,自己复现的时候才明白...: http://www.google.com/tools/toolbar/buttons/apis/howto_guide.html 页面中存在如下语句引入相对路径的 css 文件: 路径参数,该参数将分号后面的所有内容作为参数处理(例如 http://example.com/path;/notpath ),而浏览器无法识别此模式并认为它仍在路径中并且有一个目录。...wp 用很巧妙的方式获取了网页源代码 ?
view 层中,注意修改 JS/CSS 的路径即可。...dist/ 通过 gulp 将 资源包的 src 目录的源代码进行构建后生成的目录(即:将 JS 和 CSS 文件进行了压缩等处理),通常用于线上环境。关于 gulp 的使用,下文也有介绍。...,修改好 HTML 文件中的 JS/CSS 路径,即可正常运行页面。...→选中页面地址→layuiAdmin→再点上面的X) // 1.0 正式版开始新增 ,initColorIndex: 0 } }); }); 基础方法 config...并在 HTML 源代码中引入该目录的 JS/CSS。
Hybrid H5 跨平台性 进入正题之前,先解释下本文主题的两个名词: ①Hybrid H5,即混合了原生能力的 H5。...初次解耦:app 内跨平台——创建jsapi解耦通讯逻辑、封装平台差异 由上述通讯原理了解到,Hybrid H5 直接调用定义好的原生通讯协议,即可完成通讯全过程。...原理核心:H5 与原生通讯之间增加一层 jsapi,jsapi 完成三大行为:api 接口创建、协议 url 组装、创建 iframe 发起伪协议请求; 因 手Q 的 jsapi 相对比较成熟,下面会以...手Q jsapi 中的核心源码进行分析。...app 进行差异请求外,还应对在不兼容的 app 运行时做跳转到主兼容 app 打开当前页面的逻辑处理,并做引导性提示,保障页面的完整可用性。
通过分析html格式确定网页主体内容的想法 做Web编程有时候需要了解html文件的大小,组成等信息,为以后的各种处理做准备。...比如通过crawler抓取网页对网页内容自动分类的时候,最好能提取网页中的主要信息,过滤掉页头,页角的非主体信息;还有比较2个网页内容相关性的时候也需要类似的技术。...最简单的还有:分析一个网页中使用IFrame的个数,内外链接个数比例等都需要对Html文件格式做分析。 要想知道网页的那个部分是主要部分,应该有很多判断标准。我们先从最简单的表格说起。...现在大部分的网页组成都是由表格做框架。那么通过分析html页面中的表格的占位(height,weight)大小就可以来确定表格的主次关系了。 ...技术上问题不大,但是对于分析sina,sohu这样的主页效果可能不好,因为里面全是表格。 所以想从分析一些新闻页开始,不知道大家有没有什么好的注意!!
在页面源代码中,看不到数据。...这两个着重说一下,写爬虫用的最多的就是惰性匹配 *?...:北京新发地菜价(已失效,仅可参考) 注:页面重构,下示例代码仅可参考,无法运行,网站改为浏览器渲染,使用 POST 请求 # 页面源代码中能找到数据,所以直接爬取,后使用bs4提取数据即可 import...: 抓取优美图库的图片**(已失效,仅可参考) # 1.拿到主页面的源代码,然后提取到子页面的链接地址,href # 2.通过href拿到子页面的数据内容,提取图片的下载地址,img->src...= child_resp.text # 从子页面中拿到图片的下载路径 child_page = BeautifulSoup(child_page_text, "html.parser"
选择以下给定的方法之一来安装protoc。 一、使用软件包管理器进行安装 您可以使用以下命令在Linux或macOS下使用包管理器安装protocol编译器protoc。...(任何操作系统) 要从预编译的二进制文件安装最新版本的protocol编译器,请按照以下说明进行操作: 1.从github.com/google/protobuf/中手动下载与您的操作系统和计算机体系结构相对应的...github.com/protocolbuffers/protobuf/releases" $ curl -LO $PB_REL/download/v3.13.0/protoc-3.13.0-linux-x86...例如: $ unzip protoc-3.13.0-linux-x86_64.zip -d $HOME/.local 3.更新您环境的path变量,以包含protoc可执行文件的路径。...例如: $ export PATH="$PATH:$HOME/.local/bin" 三、其他安装选项 如果您想从源代码构建protocol编译器,或者访问旧版本的预编译二进制文件,请参阅下载Protocol
今天开了个头,看了一些,然后还是继续看大佬们写的挖洞经验。有看不懂的地方,简单搜索下概念,先了解着,随着知识的积累,到了一定时间段,都会吃透的。...今天将HTML基础整理了一下,学习这个不用了解多透彻,对HTML的有个基本的概念就好,刚入门的也用不了多少标签,实战下用的标签也就那么几个。...然后再去了解事件属性,这个是比较重要的,在xss的时候根据个人的能力,发挥的威力是不一样的。 个人认为在一定基础下,渗透考验的还是思路+细心。...:图像标签,可插入图片,添加src属性指向图片地址,的url或者相对路径">... ? ○.......:form表单标签下的一个标签,主要提供表单输入的相关功能。 ? ○.iframe>...
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
