这里有个简单的测试页面:IE、火狐弹出"hello world",而chrome,safari,opera毫无反应。 以下是小段测试代码(刻意修改domain,让父页面和子页面为不同域页面): 1.父页面代码: 代码如下: document.domain = "nunumick.me"; function doTest(){ alert('hello world'); } 2.子页面代码: 代码如下: try{ top.name; }catch(e){ document.domain = 'nunumick.me'; top.doTest(); } 以上代码目的是尝试在访问异常时动态修改...
IE下的DHTML有各种MS$的私有特征,已经是众所周知。其中有个比较有趣就是:event.screenX和event.screenY,可以获得系统级别的鼠标位置坐标。 咋一听,其实也觉得没什么。屏幕上的坐标无非就是:浏览器客户区域里的坐标 + 浏览器窗口坐标 + 客户区偏移,仅此而已。 IE本身就可以通过event和screen对象得到各种屏幕和窗体位置有关的信息。 然而,真正诡异的事还没开始!按照标准的DOM模型定义,只有在触发某个事件的时候,才能从eve...
在一些应用中,有时我们提交表单内容如(密码)重要信息时,为了安全,需要阻止一些复制剪切和粘贴事件,今天做了一个简单的例子有关阻止复制剪切和粘贴事件: 代码如下: pwd不能复制粘贴 $(function(){ $("input:password").bind("copy cut paste",function(e){ return false; }) }) 输入密码: 再次输入密码: JavaScript教程/参考手册 JavaScript热搜 自定义vue组件发布到npm的方法Vue利用canvas实现...
前言 在前后端分离的开发模式中,从开发的角色和职能上来讲,一个最明显的变化就是:以往传统中,只负责浏览器环境中开发的前端同学,需要涉猎到服务端层面,编写服务端代码。而摆在面前的一个基础性问题就是如何保障Web安全? 本文就在前后端分离模式的架构下,针对前端在Web开发中,所遇到的安全问题以及应对措施和注意事项,并提出解决方案。 跨站脚本攻击(XSS)的防御 问题及解决思路 跨站脚本攻击(XSS,Cross-site scripting)...
很明显,PHP+Mysql+Apache是很流行的web技术,这个组合功能强大,可扩展性强,还是免费的。然而,PHP的默认设置对已经上线的网站不是那么适合。下面通过修改默认的配置文件加强PHP的安全策略! 0x01:禁用远程url文件处理功能 像fopen的文件处理函数,接受文件的rul参数(例如:fopen(http://www.yoursite.com,r)).),这个功能可以很轻松的访问远程资源,然而,这是一个很重要的安全威胁,禁用这个功能来限制file function是个不错的...
这篇文章主要介绍了Node.js中安全调用系统命令的方法(避免注入安全漏洞),本章讲解的一般是连接字符串会时出的安全问题情况,需要的朋友可以参考下。在这篇文章中,我们将学习正确使用Node.js调用系统命令的方法,以避免常见的命令行注入漏洞。我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_pro...
本文实例讲述了JS判断是否360安全浏览器极速内核的方法。分享给大家供大家参考。具体分析如下: 360安全浏览器极速内核,在非360网站的navigator.userAgent是: "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1",用的全是原生的谷歌浏览器的userAgent; 而360自己的网站的navigator.userAgent是 :"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML...
Cookie的目的是为用户带来方便,为网站带来增值,一般情况下不会造成严重的安全威胁。Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB,因此,Cookie不会塞满硬盘,更不会被用作"拒绝服务"攻击手段。 但是,Cookie作为用户身份的替代,其安全性有时决定了整个系统的安全性,Cookie的安全...
调用jQuery.position()方法会返回相对于父元素的位置,jQuery官方文档中描述说,它跟.offset()方法不一样,.offset()返回的是相对于document的位置,而.position()返回的是相对于父元素的位置。 但事实上,在使用的过程中,我们发现.position()返回的值经常是0。但事实不是0。尤其是谷歌浏览器和IE浏览器里。火狐浏览器没有此问题。 究其原因,以基于Webkit的浏览器(谷歌浏览器和Safari浏览器)为例,只有当元素(图片、flash等)完全...
本文实例讲述了JavaScript取得WEB安全颜色列表的方法。分享给大家供大家参考。具体如下: web安全颜色指的是 护眼色, 能够让访问者的眼睛舒服的颜色//JavaScript取得216种WEB安全色值 var n = 0; var hex = new Array('FF', 'CC', '99', '66', '33', '00'); function colorPanel(){for (var i = 0; i ');}}} }希望本文所述对大家的javascript程序设计有所帮助。
本文实例讲述了异步安全加载javascript文件的方法。分享给大家供大家参考。具体如下: 使用方法:(function() {__safeLoadScript("http://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js", function() {alert(jQuery);}); })();JavaScript实现代码:window.__safeLoadScript = function(src, callback) {function addEvent(obj, type, fn) {if (obj.attachEvent) {obj['e' + type + fn] = fn;obj[type + fn] = functio...
前言 随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写。但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性。据 IBM X-Force 2011 年中期趋势报告揭示,世界五百强的网站及常见知名网站中有 40% 存在 JavaScript 安全漏洞。本文将结合代码向读者展示常见 JavaScr...
一、业务背景最近在利用mpvue+ts开发小程序的过程中,由于苹果X等手机会出现底部的按钮,会遮盖掉需要操作的按钮。由于在小程序开发,微信爸爸已经做了对机型的检查,相对与H5的处理来说方便很多了。下面就稍微罗列一下解决方案。二、实现思路 判断机型方法注入全局组件mixin加入全局安全距离css页面上进行class类处理三、实现过程1、判断机型方法小程序的官方文档提供了一个方法wx.getSystemInfo,我们可以利用该方法来对小程序的对...
一.接口安全的必要性最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。 因此,为了防止恶意调用,后台接口的防护和权限校验非常重要。虽然小程序有HTTPs和微信保驾护航,但是还是要加强...
Web安全之XSS攻防 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。3. XSS的攻击方式 (1)反射型: 发出请求时,XSS代码出现在...