Firefox的getter和setter带来的安全隐患

最新推荐文章于 2025-09-08 21:34:28 发布
最新推荐文章于 2025-09-08 21:34:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: 大前端技术 文章标签: firefox getter setter function domain
本文揭示了在Firefox浏览器中通过定义getter和setter方法来绕过document对象的安全限制,从而能够修改通常受保护的document.cookie和document.domain属性。

firefox下的document不能随便用var document来覆盖,本来是一个挺好的权限保护机制,但是它对document的保护也就到此为止了。表面上看起来系统提供的document.domain、document.cookie等接口似乎不允许开发者随便修改,但是实际上呢:

   document.__defineGetter__(    "cookie",
        function(){
            return this.c;
        }
    );
    document.__defineSetter__(    "cookie",
        function(sText){
            this.c="HACK : "+sText;
        }
    );    
   document.__defineGetter__(    "domain",
        function(){
            return this.d;
        }
    );
    document.__defineSetter__(    "domain",
        function(sText){
            this.d="HACK : "+sText;
        }
    );    
    document.cookie="fake cookie";
    alert(document.cookie)
    document.domain="fake domain"
    alert(document.domain)

document实际上已经成了一个傀儡,随便开发者摆弄了。因此我们做基于document.domain和document.cookie的一些对第三方判断时候要小心。


本文来自优快云博客,转载请标明出处:http://blog.youkuaiyun.com/emu/archive/2011/02/27/6210720.aspx

cookie session 详解
wolfGuiDao的博客
06-03 718
cookie session 详解 文章目录cookie session 详解一、Cookie机制1.Cookie引入2.什么是Cookie3.Cookie的不可跨域名性4. Unicode编码:保存中文5. BASE64编码:保存二进制图片6.设置Cookie的所有属性7. Cookie的有效期8. Cookie的修改、删除9. Cookie的域名10. Cookie的路径11. Cookie的安全属性二、什么是Session1.Session2.Session的生命周期3.Sess
面试题精选汇总(实时更新)(评论区欢迎补充)
qq_52700250的博客
08-14 899
前端高频面试题精选汇总
gettersetter方法出错
danpu0978的博客
04-20 541
当您可以加快编码速度并自动提供自文档标准解决方案时,约定非常有用,这可能是约定优于配置模式如此流行扩展的主要原因之一。 很好,除非您像往常一样滥用或滥用它们,否则会破坏用户(或读者)的期望,从而增加混乱耗时的时间(即,即使在您的合同界面中,也要破坏最小惊讶原则PLA )。 通常,gettersetter方法是这种过度使用约定的一部分。 当提供框架库的兼容性时,如此流行的Jav...
settergetter访问器属性
我是小奶音啊的博客
02-19 775
前言 刚开始学习对象时,对象有2个部分,第一个是属性,第二个是方法 属性对应的是一个值,方法对应的是一个函数,也就是一个执行步骤 setget能够实现对象的属性特种对象的方法特征,可以存储值,也可以执行多条语句 set get 访问器属性,也叫setter/getter 如果只写set方法,不写get方法,这个属性是一个只写属性,不可读 如果只写get方法,不写set方...
FirefoxIE兼容性问题及解决方法总结
09-04
为了解决这个问题,我们可以创建一个gettersetter方法,如上文代码所示,模拟Firefox中的outerHTML功能。 2. **集合类对象访问** IE允许使用圆括号或方括号来访问集合类对象,例如`elements[0]`或`elements(0)`...
cookiesession的详解与区别
ms_test的博客
09-28 486
Cookie意为“甜饼”,是。
基于springboot的善筹网(众筹)前后台实现系统
weixin_50902344的博客
05-16 711
本文介绍了基于SpringBoot框架开发的善筹网系统,旨在解决传统众筹模式中存在的项目审核不严、信息披露不透明、资金管理不善等问题。系统采用前后端分离的B/S架构,前端使用Vue、JavaScript等技术,后端基于SpringBoot框架,数据库采用MySQL。系统实现了用户注册登录、项目发布与浏览、投资操作、后台管理等核心功能,并通过多种测试方法验证了系统的功能性能。测试结果表明,系统在大部分功能性能方面满足了预定的需求,但在高并发情况下仍存在响应时间增加异常处理不完善的问题。针对这些问题,提出
新手gettersetter指南
热门推荐
八戒的专栏
11-08 1万+
原文地址:http://www.iphonedevsdk.com/forum/iphone-sdk-tutorials/7295-getters-setters-properties-newbie.html 假设有个MyClass类,里面定义了一个成员text。对它的读与写如下所示: //MyClass.h file @interface MyClass: NSObject { NS
Getter/Setter之深入浅出,对象属性监听
拾肆
03-08 2686
在我们实际项目中,有可能会遇到监听一个对象的属性变化(当然,全局变量可以看做window对象的属性)而执行某些操作。get/set分别对属性的获取/赋值进行监听斌并执行某些操作。对于cookie应该都不陌生,它执行document.cookie='a=1'的时候并不会覆盖原来的cookie,而是覆盖原来的a的值或则追加一个a。当然,这里cookie是不是通过getter/setter来实现的不做深究
自动生成属性的gettersetter方法
the_exception的博客
05-09 516
1.private关键字声明属性。 2.Eclipse的工具自动生成settergetter方法。 (Source→Generate Getters and Setters…)此时光标要放在大括号内。 3.Sun的编码规范中,boolean类型属性的getter方法不是以get开头而是以is开头 ...
__defineGetter____defineSetter__方法
hqmln的博客
11-11 309
__defineGetter____defineSetter__是Firefox的特有方法,可以利用来它自定义对象的方法。众所周知,IE FF中的JS很多区别:例如IE中的innerText方法FF中的textContent方法对应,IE中的srcElementFF中 target对象等。以及一些IE的专有特性:outerHTML,canHaveChildren等 <script ...
Firefox下使用gettersetter
weixin_30515513的博客
04-12 101
在火狐下运行:o = { value:9 } Object.prototype.__defineGetter__("mm",function(){return "属性测试"})alert(o.mm) 在火狐下运行,可以扩展innerText第一种:if(typeof(HTMLElement)!="undefined" && !window.ope...
Firefox Window 开发流程(五)
守城小轩的技术窝棚
09-08 845
本文详细介绍了Firefox开发中的引导模式(Bootstrap Mode)功能与使用。引导模式是连接源码拉取与正式编译的关键环节,主要功能包括:1)选择构建产品类型(桌面/Android/SpiderMonkey等);2)自动优化编译配置;3)安装必要依赖;4)与代码审查平台关联。文章重点分析了标准模式与Artifact模式的区别,推荐桌面开发者选择完整编译模式确保修改生效。通过引导模式的自动化配置,开发者能快速搭建开发环境,提升编译效率,降低学习门槛。文章还提供了常见问题解决方案完整流程示例,帮助开发
如何使用Docker快速运行Firefox并实现远程访问本地火狐浏览器的教程
GoCloudNative - 云原生技术的探索者。
09-08 381
摘要: 本教程详细介绍了如何利用Docker容器快速部署Firefox浏览器,并通过VNC实现远程访问。步骤包括安装DockerVNC服务、拉取预配置的Firefox镜像、运行容器并映射端口(5900)、使用VNC客户端连接操作。文章还提供了优化建议(设置VNC密码、调整分辨率)使用Mermaid流程图辅助理解整个过程。该方法适用于远程测试、调试浏览器自动化场景,兼顾便捷性与安全性。(149字)
Firefox Window 开发流程(四)
守城小轩的技术窝棚
09-08 361
本文详细介绍了Firefox浏览器源码的获取与开发环境配置流程。主要内容包括:准备工作(操作系统要求、工具依赖、网络存储条件);具体操作步骤(创建项目目录、下载bootstrap.py引导脚本并执行);以及脚本的核心功能解析(环境检测、依赖安装、源码获取构建引导)。文章还提供了常见问题解决方案实际案例,强调通过官方引导脚本可以简化复杂的配置过程,使开发者能快速进入Firefox开发模式。该流程是进行Firefox二次开发或内核研究的重要基础环节。
Nginx 实战系列(四)—— Nginx反向代理与负载均衡实战指南
最新发布
qq_41978931的博客
09-08 1139
本文介绍了Nginx作为反向代理负载均衡服务器的核心功能。主要内容包括:反向代理的工作原理及配置方法,通过Nginx转发请求隐藏后端服务器;负载均衡的基本原理及其提升性能、可用性扩展性的优势;详细解析了6种常见负载均衡策略(轮询、最少连接数、IP哈希、加权轮询、最少时间算法一致性哈希)的特点及配置示例;最后提供了基础轮询带权重/故障转移的配置实例。文章从理论到实践全面指导Nginx的反向代理与负载均衡部署。
IDEA设置生成带Javadoc注释的gettersetter教程
在IDEA中,默认情况下生成的gettersetter方法可能不会包含Javadoc注释,这不符合某些编码规范,例如阿里巴巴开发规约,它要求所有方法都应该有清晰的文档。本文将指导如何在IntelliJ IDEA中设置模板,以便自动生成...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值