-
54、WEB攻防——通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持
同源策略
同源策略包括三个条件:同域名、同域名、同端口。同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。
CORS
CORS(跨域资源共享)已被所有浏览器支持,跨域资源共享是一种放宽同源策略的机制,它允许浏览器向跨域服务器发出XMLHttpRequest,从而克服了AJAX只能同源使用的限制,以便不同的网站可以跨域获取数据。
CORS与CSRF的区别:
JSONP跨域回调
JSONP跨域巧妙地利用了scirpt标签能跨域的特点,实现json的跨域传输。
检查项目:手工审查元素筛选或burp项目,JSONP-Hunter(可以集成到burp上)看数据包里哪些回调接口,回调的数据不限同源策略的限制。
子域名劫持
域名设置时
cname,相当于一个别名。访问test.xiaodi8.com,其实会访问www.xiaosedi123.fun。
dnsub检测CNAME。
-
相关阅读:
Vmware Workstation安装说明
C++获取程勋代码执行的时间
机器学习——朴素贝叶斯(Naive Bayes)详解及其python仿真
机械工程师和电气工程师方向哪个前景比较好?
MySQl有哪些索引(种类)?索引特点?为什么要使用索引?
【算法训练-二叉树 六】【路径和计算】路径总和I、路径总和II、路径总和III、二叉树的最大路径和
前段入门-CSS
双线服务器和单线服务器的区别
Vue3通透教程【十七】Vite构建TS版本Vue项目
阿里云今年有双十一活动吗?不好说
- 原文地址:https://blog.csdn.net/qq_55202378/article/details/136674733