Html5

关于CSS跨域漏洞理解分析

字号+ 作者:blackhair 来源:转载 2016-12-28 09:27 我要评论( )

作为初入网络安全的小白来说,记录学习历程我认为是至关重要的事情,很久没更新博客了,内心偶尔彷徨,但不碍事,慢慢来。 先理解一个很重要的东西叫同源策略,百度......

作为初入网络安全的小白来说,记录学习历程我认为是至关重要的事情,很久没更新博客了,内心偶尔彷徨,但不碍事,慢慢来。
  先理解一个很重要的东西叫同源策略,百度百科讲解的同源策略不是很清晰啊,简单点讲同源策略是浏览器的一种准则,web是构建在同源策略的基础之上的,就是说浏览器只是针对同源策略的一种实现。
  而这个CSS跨域漏洞就是因为同源策略的源不同而导致CSS跨域漏洞,就是可以在另一个页面执行。
  在这里我们简单的了解了同源策略,现在是我对同源策略的理解:同源策略就是域名,端口,协议相同,而造成漏洞是源不同,而上面说的域名,端口,协议相同是指类型相同就好比我们都是亚洲人种,但是我们长得样子都是不一样的,这样你就懂这个相同的意思了吧。
  浏览器的基础就是同源策略,这可以说是一种规则,一定要遵守,否则浏览器上任何页面都能随意执行,那就很乱套。不同源虽然无法产生干扰,但是篱笆虽高,但是有楼梯啊,总有爬上城墙的那一刻,所以在浏览器与第三方插件交互时一定要注意了!
   漏洞形成代码:关于CSS跨域漏洞理解分析
因为现在浏览器都是同源策略模式,人品好,在IEtest下进行了完美的测试,还好大功告成。触发漏洞如下:关于CSS跨域漏洞理解分析
这里弹窗了说明这里没有遵守同源策略标准。在这里我想说个很重要的事情,上面的代码font-family明显是CSS代码理应该写在CSS样式里面,但是写在body里面,这里要强调一点:CSS,HTML,JS代码做到完美的分离才能保证绝对的安全,不要互相包含。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Html/511.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~