構成目標網站的框架。然后攻擊者可以操縱受害者在目標網站上不知不覺地執行操作。即使有跨站點請求偽造保護， ...

【1】 瀏覽器http抓包 -- intercerpt is off 的作用是關閉攔截 -- add或者edit代理地址 下圖表示本地瀏覽器的代理地址設為127.0.0.1:8888時 ，請求將被攔截；手機wifi的代理設置為10.102.0.33:8888時，請求將被攔截 ...

1.背景 1.1.同源策略 網站的安全模式源於“同源策略”，web瀏覽器允許第一個web頁面中的腳本訪問頁面中的數據，但前提是兩個web頁面具有相同的源。此策略防止一個頁面的惡意腳本通過該頁面的文檔訪問另一個網頁上的敏感數據。 規則：協議、主機、和端口號 安全風險例子： 1,假設你正在訪問 ...

同源策略(The same-origin policy) 這是瀏覽器的一個基本卻又非常重要的安全策略，瀏覽器會限制對異源（異域）（我們常稱之為別人家的站點）的資源操作。打個比方，你不會讓老王來你家，也不允許他在你家牆上打個洞，裝個監控啥的。通過這個比喻你就知道同源策略的重要性了。 同源策略主要 ...

在瀏覽網頁的過程中，尤其是移動端的網頁，經常看到有很多無關的廣告，其實大部分廣告都是所在的網絡劫持了網站響應的內容，並在其中植入了廣告代碼。為了防止這種情況發生，我們可以使用CSP來快速的阻止這種廣告植入。而且可以比較好的防御dom xss。 CSP使用方式有兩種 1. 使用meta標簽 ...

內容安全策略（CSP），其核心思想十分簡單：網站通過發送一個 CSP 頭部，來告訴瀏覽器什么是被授權執行的與什么是需要被禁止的。其被譽為專門為解決XSS攻擊而生的神器。 1.CSP是什么 CSP指的是內容安全策略，為了緩解很大一部分潛在的跨站腳本問題，瀏覽器的擴展程序 ...

IE 、谷歌瀏覽器抓取HTTPS請求 1、IE 、谷歌瀏覽器抓取HTTPS請求 Tools -- Options -- HTTPS --勾選 Decrypt HTTPS traffic --點擊 OK，直接抓取HTTPS請求，如果抓不到，則設置證書 2、設置證書 Tools ...

威脅 跨站腳本攻擊(Cross-site scripting) 跨站腳本攻擊Cross-site scripting (XSS)是一種安全漏洞，攻擊者可以利用這種漏洞在網站上注入惡意的客戶端代碼。 攻擊者可以突破網站的訪問權限，冒充受害者 以下2種情況下，容易發生XSS攻擊 ...