Products
96SEO 2026-02-23 11:39 4
同源策略是为了防止攻击的安全策略#xff0c;其他的都是网络攻击。
除了这…前言
前端关于网络安全看似高深莫测其实来来回回就那么点东西我总结一下就是
我将会在我的《面试题一网打尽》专栏中先逐一详细介绍然后再来一篇文章总结预计一共5篇文章欢迎大家关注
XSS【也叫作代码注入攻击】重点在【脚本】两个字所以同样都是利用
还是有区别的。
通过在网站注入恶意脚本使脚本在用户的浏览器上运行从而盗取用户的信息或者破环页面的结构。
很多知识都需要结合实际的代码来学习所以本篇文章的基础是需要一个服务端的项目可以跟着我的这篇文章搭建自己的服务端项目。
或者直接克隆我的仓库代码在这个提交上拉一个新分支本篇文章所有的代码都是在这个提交基础上进行的。
恶意脚本由前端生成、发送并存在目标服务器上属于服务器端漏洞重点是
这个脚本是前端某个用户写的好好想想肯定是这样的服务端不会无缘无故的多出来数据服务器在接收到前端传的内容后没有经过检查就存到数据库中攻击发生在前端再一次访问存储的数据的时候
服务器对【文件名】没有过滤对不合法的文件名没有进行转义等处理就保存在服务端数据库了当其他用户访问这个公共【文件名】的时候就会触发攻击脚本中可以获取网站的
信息在其他机器上登录改用户的账号并利用用户账号进行一些恶意操作
classboxh1【首页用户1】/h1h1设置一个公开的书籍的名称/h1div这个书籍是所用用户都可以访问的/divdiv修改书名/divtextarea
onclicksaveName()保存/button/divscriptfunction
document.getElementById(name).value;if
classboxh1【另一个页面用户2】/h1h1书籍列表页面/h1div访问公开的书籍/divdiv书名/divdiv
初始化的时候就获取数据fetch(/getName).***n((res)
document.getElementById(name);//
express();app.use(bodyParser.urlencoded({
{res.sendFile(path.join(__dirname,
req.bodyfs.writeFileSync(path.resolve(__dirname,
{res.sendFile(path.join(__dirname,
fs.readFileSync(path.resolve(__dirname,
data.txt)).toString()console.log(name)res.send(JSON.stringify({name:
localhost:3000输入一段恶意的代码作为书名点击保存
localhost:3000/index2.html这样一个存储型的、对于
得到恶意脚本然后返回给客户端服务器不会存储恶意脚本只会返回(反射)它
https://danger.com?xssscriptalert(attack)/script服务器接收到访问
的值做校验是否合法对于不合法的没有进行转义服务器将解析后的结果反射给浏览器如返回
initial-scale1.0titleDocument/title
hrefhttp://localhost:3000/reflect?xssscriptalert(哈哈你上当了)/script
整个过程服务器不参与脚本的具体来源还是利用网页中用户交互的部分
initial-scale1.0titleDocument/titlestyletextarea
onclicksave()保存/buttonhrdiv输出/divdiv
document.getElementById(input).valueif
document.getElementById(output)output.innerHTML
攻击我们都用代码的形式实现。
一点都不难吧光说不练假把式如果只看理论知识肯定云里雾里你跟着一起写一遍代码就理解了不用背诵就记下来了。
不使用服务端渲染前两种是服务端的安全漏洞服务器不能信任前端输入的任何东西服务端要对输入脚本进行过滤或者转码。
script
标签】x-content-type-options\x-frame-options\x-xss-protentcion
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
