前行的博客

什么是流密码流密码是一种常见的加密算法，基于异或(XOR)操作，每次只操作一个字节，常见的流密码加密算法有：RC4、ORYX、SEAL。 流密码隐藏的问题因为异或加密的本质，最常见的错误就是多次使用同一个密钥进行加解密。攻击者甚至不需要知道密钥就能成功破解密文。原理如下：缺陷/* A、B为明文，C为密钥 */E(A) = A XOR C ;E(B) = B XOR...

什么是CRSF构建一个地址，比如说是删除某个博客网站博客的链接，然后诱使已经登录过该网站的用户点击恶意链接，可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接，假借受害者的手造成损失的攻击方式就叫CSRF-跨站点请求伪造。 浏览器Cookie策略cookie分类cookie根据有无设置过期时间分为两种，没有设置过期时间的为Session ...

概念XSS攻击，通常指通过'HTML注入'篡改了网页，插入恶意脚本，大多数是javascript或者指向脚本的链接，在用户浏览网页的时候，控制用户浏览器的一种攻击。主要的攻击对象是当前用户的个人信息。对于XSS攻击者来说，JavaScript工作在渲染后的浏览器环境中，无法控制用户浏览器发出的HTTP头。XSS的三种类型 反射型XSS：特点是黑客需要诱使用户点击一个恶意链...

什么叫同源源其实指的就是URL，同源的条件是两个网站的协议、域名、端口都一致，才能称为同源。同源策略同源策略出于网站安全性的考虑，限制不同源之间资源访问的一种策略，简单来说有如下几种： AJAX请求不能发送 无法读取DOM元素并进行操作 无法读取cookie，localstrotage、IndexDB。 值得一提的是，有些请求是不受到跨域限制。例如...