至尊技术网

登录

标签搜索

搜索到 2 篇与的结果

HistoryAPI钓鱼攻击：浏览器历史记录漏洞的隐秘威胁

HistoryAPI钓鱼攻击：浏览器历史记录漏洞的隐秘威胁

正文：在Web开发中，HTML5 History API为单页应用（SPA）提供了无刷新跳转的能力，但这一特性也可能成为攻击者的利器。通过精心构造的代码，恶意网站可以篡改浏览器历史记录，诱导用户访问伪造页面，甚至窃取敏感信息。漏洞原理：History API的“暗面”History API的核心方法是pushState和replaceState，它们允许开发者动态修改URL而不触发页面刷新。例如：history.pushState({}, "", "https://fake-bank.com/login");这段代码会将地址栏显示为fake-bank.com，但实际页面内容仍由攻击者控制。结合onpopstate事件监听，攻击者能进一步模拟合法页面的交互流程。攻击场景复现 URL伪装：攻击者将恶意页面URL改为与目标网站相似的地址（如faĸe-bank.com，使用视觉混淆字符），并通过replaceState隐藏真实域名。历史记录污染：通过循环调用pushState，填充大量伪造的历史条目，使用户难以通过“后退”按钮返回真实页面。钓鱼逻辑触发：当用户尝试提交表单时，恶意脚本...

2026年01月06日

19 阅读

0 评论

解决HTML页面中的worker-srcCSP违规问题

解决HTML页面中的worker-srcCSP违规问题

在现代Web开发中，内容安全策略（Content Security Policy，简称CSP）已成为保障网站安全的重要防线。通过限制资源加载的来源，CSP有效防止了跨站脚本攻击（XSS）、数据注入等常见安全威胁。然而，在实际部署过程中，开发者常常会遇到各种CSP违规问题，其中worker-src指令的配置不当尤为常见。本文将深入探讨worker-src引发的CSP违规原因，并提供切实可行的解决方案。worker-src是CSP 3.0引入的一项关键指令，用于控制哪些来源可以创建Web Workers，包括Worker、SharedWorker和ServiceWorker等。当页面尝试从被禁止的源创建Worker时，浏览器会阻止该操作并记录CSP违规日志。这类问题通常不会立即导致功能崩溃，但会在浏览器控制台中频繁报错，影响调试体验，更严重的是可能暴露安全策略的薄弱环节。常见的违规场景之一是使用内联脚本创建Worker。例如，以下代码：javascript const worker = new Worker('data:text/javascript;base64,YWxlcnQoM...

2025年11月22日

54 阅读

0 评论

悠悠楠杉

36,888 文章数

92 评论量

人生倒计时

今日已经过去小时

这周已经过去天

本月已经过去天

今年已经过去个月

最新回复

强强强
2025-04-07

强的一批
jesse
2025-01-16

有whmcs接口吗？
sowxkkxwwk
2024-11-20

博主太厉害了！
zpzscldkea
2024-11-20

博主太厉害了！
bruvoaaiju
2024-11-14

博主太厉害了！

标签云

强的一批
有whmcs接口吗？
博主太厉害了！
博主太厉害了！
博主太厉害了！
怎么收藏这篇文章？
怎么收藏这篇文章？
想想你的文章写的特别好
想想你的文章写的特别好
不错不错，我喜欢看