Flax阅读笔记
时间:2010-10-14 来源:jessiewqq
攻击情景描述CSV (Client-side vulnerability)接下来我将以Facebook涉及到的几类漏洞进行描述。下图是一个实例截屏,CNN主页中去。此类应用在现今得到了广泛的应用,像国外著名的YouTube代码以及丰富的跨领域交互,由于这两点,客户端应用程序极容易因对不可信输入未进行充分验证而导致相关的攻击。
Facebook教程(Cross Document Messaging)支持基于Facebook用户进行聊天。作者所举出的实例模拟了
可以在postMessage的用户是A函数将信息发送出去。代码如下:2: chatURL += "chat_child.html";
5: function sendChatData (msg) {
}
的用户是B的聊天窗口中显示用户B发送一条确认信息。
|
3: var matches = re.exec(url);
6:
9: if(!matches) return false;
12: var checkDomRegExp = /facebook/;
15: return true; // All Checks Ok
17:// Parse JSON into an array object
20:}
23: if (ValidateOriginURL (O)) {
26: ParseData(DataStr);
30: backserv.open("GET","http://www.facebook.com/srv.php?
32: window.addEventListener("message",
,在
|
相关阅读 更多 +
