lay_loge的博客

一、什么是XMLHttpRequestXMLHttpRequest对象用于在后台与服务器交换数据。XMLHttpRequest使开发者：*在不重新加载页面的情况下更新网页*在页面已加载后从服务器请求数据*在页面已加载后从服务器接收数据*在后台向服务器发送数据所有现代的浏览器都支持XMLHttpRequest对象。二、创建XMLHttpRequest对象所有现代浏览器（IE7+、F...

常见的XSS漏洞分为存储型、反射型、DOM型三种。（1）反射型XSS用户在请求某条URL地址的时候，会携带一部分数据。当客户端进行访问某条链接时，攻击者可以将恶意代码植入到URL，如果服务端未对URL携带的参数做判断或者过滤处理，直接返回响应页面，那么XSS攻击代码就会一起被传输到用户的浏览器，从而触发反射型XSS。例如，当用户进行搜索时，返回结果通常会包括用户原始的搜索内容，如果攻击者精心构...

一、什么是SQL注入SQL（Structured Query Language),即结构化查询语言，用于操作关系型数据库管理系统。目前，大多数Web编程语言提供了操作SQL的接口，以方便与数据库进行交互。但是在开发Web应用的过程中，由于忽视了代码的健壮性和安全性，攻击者可以构造巧妙的SQL语句从而获取到敏感数据，因此导致了SQL这种攻击方式的流行。二、SQL注入的原理在B/S模式中，用户可...