Learning Man's Blog

Learning Man's Blog

I'm getting stronger step by step.

2020 All is New

★,°:.☆( ̄▽ ̄)/$:.°★

新年快乐

( ̄▽ ̄)~■干杯□~( ̄▽ ̄)

XSS with ServiceWorkers
前述持久化 XSS 的常见姿势有 with CSRF Inject opener hijack window.opener.location="javascript:alert('Xss')";void(0); link hijack for (i = 0; i < document.links.length; i++) { document.links[i].οnclick = function () { x = window.open(this.href); setTimeout(function () { ...
CSP 小结

CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

avatar
Sariel.D
天雨虽宽,不润无根之草
FRIENDS
pwn4fun th3wind