过往专题搬运。
前端安全
开发视角
预防竞争对手用爬虫进行的信息抓取,我们除了可以在后端进行图灵测试,也可以前端在 DOM 处做手脚来混淆爬虫。
针对 XSS 的前端防御,本文作者介绍了 CSP 的作用与绕过方式,最后给出结论:黑名单配合 CSP 仍然是最靠谱的防御方式。
介绍了预防点击劫持的多个方案汇总。
介绍了 XSS 的3个分类与21个详细案例。
本文介绍了 Service Worker 带来的风险:XSS持久化、新型Flash攻击、SW缓存劫持,并介绍了基本防御思路。
CSS in JS 的方案带来了开发便利的同时,也带来了被注入的可能,本文总结了安全使用之道。
黑客视角
本篇文章是有关 web 渗透的科普,安全攻防日新月异,但其中涉及的思想不会过时。
本文介绍了通过搜索引擎、第三方 DNS 数据库、证书服务器、字典爆破、排列置换等方式来枚举一个域名下子域名。
这篇文章介绍浏览器漏洞挖掘,包括关注更新、枚举旧漏洞、寻找字符集漏洞与第三方库漏洞等。
本文是作者黑入一台有40个网站的服务器的过程,介绍了完善的入侵思路。(墙外)
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。