Junwen's home
  • ES6

    • ES6 Decorator
    • ES6核心特性
    • Promise&Generator
  • js原理

    • 简单实现bind、apply和call
    • 如何遍历一个dom tree
    • 实现函数currying
    • 实现一个event
    • 详解js的继承
    • 详解requestAnimationFrame
    • Canvas api详解
    • DOM事件
    • EventLoop详解
    • JavaScript的内存管理
    • JavaScript的运行机制
    • Math对象
    • new操作符都做了什么
    • create基本实现原理
    • Set、Map、WeakSet和WeakMap
    • web worker原理
    • WebGL教程(MDN)
  • jsInfoSeries

    • 简介
    • JavaScript基础知识
    • 基础知识2
    • 基础知识3
    • 基础知识4
  • 技巧

    • 5个js解构有趣用途
    • 如何使用set提高代码性能
    • cordova构建项目时的问题
    • js中轻松遍历对象属性的几种方式
  • 怎么写出更好的css
  • BFC详解
  • box-shadow详解
  • CSS小技巧
  • Grid布局详解
HTML
  • IP十问
  • http笔试
  • http协议
  • 浏览器原理
  • 浏览器缓存其实就这么一回事儿
  • 浏览器兼容性问题
  • 移动端开发兼容性适配
  • 前端性能优化
  • 前端如何进行seo优化
  • webpack

    • webpack HMR
    • webpack优化基本方法
  • leetcode题解

    • 两数之和
    • 判断整数是否为回文串
    • 无重复字符的最长子串
  • Js链表
  • JavaScript排序
  • React

    • 虚拟DOM原理理解
    • React Hook
    • 组件复用指南
  • Vue

    • Vue举一反三
面试题
读书笔记
GitHub (opens new window)

Syun0216

多读书多种树
  • ES6

    • ES6 Decorator
    • ES6核心特性
    • Promise&Generator
  • js原理

    • 简单实现bind、apply和call
    • 如何遍历一个dom tree
    • 实现函数currying
    • 实现一个event
    • 详解js的继承
    • 详解requestAnimationFrame
    • Canvas api详解
    • DOM事件
    • EventLoop详解
    • JavaScript的内存管理
    • JavaScript的运行机制
    • Math对象
    • new操作符都做了什么
    • create基本实现原理
    • Set、Map、WeakSet和WeakMap
    • web worker原理
    • WebGL教程(MDN)
  • jsInfoSeries

    • 简介
    • JavaScript基础知识
    • 基础知识2
    • 基础知识3
    • 基础知识4
  • 技巧

    • 5个js解构有趣用途
    • 如何使用set提高代码性能
    • cordova构建项目时的问题
    • js中轻松遍历对象属性的几种方式
  • 怎么写出更好的css
  • BFC详解
  • box-shadow详解
  • CSS小技巧
  • Grid布局详解
HTML
  • IP十问
  • http笔试
  • http协议
  • 浏览器原理
  • 浏览器缓存其实就这么一回事儿
  • 浏览器兼容性问题
  • 移动端开发兼容性适配
  • 前端性能优化
  • 前端如何进行seo优化
  • webpack

    • webpack HMR
    • webpack优化基本方法
  • leetcode题解

    • 两数之和
    • 判断整数是否为回文串
    • 无重复字符的最长子串
  • Js链表
  • JavaScript排序
  • React

    • 虚拟DOM原理理解
    • React Hook
    • 组件复用指南
  • Vue

    • Vue举一反三
面试题
读书笔记
GitHub (opens new window)
  • 白帽子讲web安全

    • HTML5安全
      • PHP安全
      • WebServer配置安全
      • Web框架安全
      • 互联网业务安全
      • 加密算法和随机数
      • 安全的开发流程
      • 安全运营
      • 应用层拒绝服攻击
      • 文件上传漏洞
      • 注入攻击
      • 点击劫持
      • 认证与会话管理
      • 访问控制
      • 跨站点请求伪造(CSRF)
      • 跨站脚本攻击
    • 深入react技术栈

      • chapter1
    • 高性能建站
    • 冴羽系列文章链接
    • books
    junwen
    2020-03-27

    HTML5安全

    # HTML5新标签


    一些XSS Filter如果建立了一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。

    # iframe的sandbox


    在HTML5中,专门为iframe定义了一个新的属性,叫sandbox。使用这个属性,iframe标签加载的内容会被视为一个独立的源,其中的脚本将会被禁止执行,插件被禁止加载。sandbox属性可以通过参数来支持更精确的控制。有以下值可选择:

    1. allow-same-origin: 允许同源访问;
    2. allow-top-navigation: 允许访问顶层窗口;
    3. allow-form: 允许提交表单;
    4. allow-script:允许执行脚本;

    # Link Types: noreferer


    在HTML5中,a标签和area标签定义了一个新的link types: noreferer。顾名思义,标签定义了noreferer之后,浏览器在请求该标签指定的地址时就不会发送Referer。

    # Canvas的妙用


    通过Canvas自动破解验证码,最大的好处就是可以在浏览器中实现在线破解,大大降低了攻击的门槛。

    # Cross-Origin Resource Sharing


    浏览器实现了同源策略限制了脚本的跨域请求。

    # postMessage 跨窗口传递消息


    允许每一个window对象往其他的窗口发送文本信息,从而实现跨窗口消息传递。

    # webStorage


    SessionStorage LocalStorage;web Storage同样受到同源策略的限制,

    在Github上编辑此页 (opens new window)
    #web安全
    上次更新: 3/22/2021, 3:47:15 AM
    PHP安全

    PHP安全→

    最近更新
    01
    如何打造全链路项目生命周期的统一交付平台
    04-10
    02
    如何建立前端标准化研发流程
    04-10
    03
    如何从0到1一步步成体系地搭建CI
    04-10
    更多文章>
    Theme by Vdoing | Copyright © 2019-2021 Syun
    • 跟随系统
    • 浅色模式
    • 深色模式
    • 阅读模式