0x00 我们首先讲一个webView这种方法的作用： webView.getSettings().setAllowFileAccessFromFileURLs(false); 为了解说这种方法，我们还是看一个实际的样例。代码地址还是參考 ...

之前偶然看到群里有小伙汁问这个token相关的问题，当时我酝酿了一下子，没想好怎么总结，今天来说一下 CSRF在过去还属于OWASP TOP10 ，现在已经不是了（补充一点：关于OWASP API ...

1 同源策略 所谓同源策略，指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 那么先定义下什么是同源，所谓同源，就是指两个页面具有相同的协议，主机（也常说域名），端口，三个要素缺一不可 ...

目录： 1.同源策略 2.跨域 3.几种跨域技术 - JSONP, CORS 1.同源策略 什么叫同源？ URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源。相反，只要协议 ...

文件上传的目的：上传代码文件让服务器执行(个人理解)。 文件上传的绕过脑图 一.js本地验证绕过 原理:本地的js,F12查看源代码发现是本地的验证 绕过姿势 1.因为属于本地的代码可以尝试修改,然后选择php文件发现上传成功。 2.采用burpsuite,先将文件的名称修改 ...

1.前端JS验证 基于本地验证文件是否符合要求：直接将JavaScript禁用。或者burp抓包后修改后缀，将php文件后缀现先改为jpg，burp抓包后后缀改回php。 2.MIME 类型验证 ...

　　文件上传漏洞是Web安全中一种常见的漏洞在渗透测试中经常使用到，能够直接快速地获得服务器的权限，如果说一个没有文件上传防护规则的网站，只要传一个一句话木马就可以轻松拿到目标了。上传文件上传漏洞是指用户上传了如木马、病毒、webshell等可执行文件到服务器，通过此文件使服务器 ...

同源策略 一个源的定义 同源策略和跨域解决方案 如果两个页面的协议，端口（如果有指定）和域名都相同，则两个页面具有相同的源。 举个例子： 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL 结果 原因 ...