Web安全

同源策略

域名(子域名)相同,端口相同,协议相同
公司的Nginx前端配置保证了其 web应用处于一个同源状态中
web应用中有请求数据的部分建议开启session验证或者自己携带token验证

跨站脚本攻击(XSS)

XSS通常值的时候,黑客通过HTML注入来篡改网页,主要分为

反射性XSS

存储性XSS

钓鱼网站等在浏览过程中执行恶意代码

基于DOM的XSS

Demo

输入testurl后输入’onclick=alert(/xss/)//

例用字符串编码

绕过长度限制

使用标签

window.name

窃取管理员帐号或Cookie,冒充管理员操纵后台数据。 

窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。

网站挂马,利用嵌入到Web应用程序中的代码,在用户的计算机植入木马。

发送广告或者垃圾信息,严重影响到用户的正常使用。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

林深时见鹿<br>海蓝时见鲸