构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护， ...

【1】 浏览器http抓包 -- intercerpt is off 的作用是关闭拦截 -- add或者edit代理地址 下图表示本地浏览器的代理地址设为127.0.0.1:8888时 ，请求将被拦截；手机wifi的代理设置为10.102.0.33:8888时，请求将被拦截 ...

1.背景 1.1.同源策略 网站的安全模式源于“同源策略”，web浏览器允许第一个web页面中的脚本访问页面中的数据，但前提是两个web页面具有相同的源。此策略防止一个页面的恶意脚本通过该页面的文档访问另一个网页上的敏感数据。 规则：协议、主机、和端口号 安全风险例子： 1,假设你正在访问 ...

同源策略(The same-origin policy) 这是浏览器的一个基本却又非常重要的安全策略，浏览器会限制对异源（异域）（我们常称之为别人家的站点）的资源操作。打个比方，你不会让老王来你家，也不允许他在你家墙上打个洞，装个监控啥的。通过这个比喻你就知道同源策略的重要性了。 同源策略主要 ...

在浏览网页的过程中，尤其是移动端的网页，经常看到有很多无关的广告，其实大部分广告都是所在的网络劫持了网站响应的内容，并在其中植入了广告代码。为了防止这种情况发生，我们可以使用CSP来快速的阻止这种广告植入。而且可以比较好的防御dom xss。 CSP使用方式有两种 1. 使用meta标签 ...

内容安全策略（CSP），其核心思想十分简单：网站通过发送一个 CSP 头部，来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.CSP是什么 CSP指的是内容安全策略，为了缓解很大一部分潜在的跨站脚本问题，浏览器的扩展程序 ...

IE 、谷歌浏览器抓取HTTPS请求 1、IE 、谷歌浏览器抓取HTTPS请求 Tools -- Options -- HTTPS --勾选 Decrypt HTTPS traffic --点击 OK，直接抓取HTTPS请求，如果抓不到，则设置证书 2、设置证书 Tools ...

威胁 跨站脚本攻击(Cross-site scripting) 跨站脚本攻击Cross-site scripting (XSS)是一种安全漏洞，攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。 攻击者可以突破网站的访问权限，冒充受害者 以下2种情况下，容易发生XSS攻击 ...