今天在github 上看到一个非常巧妙的项目:umpox/TinyEditor 使用简单的浏览器就能构造一个简单的实时运行代码的基于浏览器的前端编辑器,只需要很少代码;
1. 先来说说iframe的变化。 1.1 最好懂的,onload执行js <iframe onload="alert(1)"></iframe> 1.2 src 执行javascript代码 <iframe src="javascript:alert(1)"></iframe> 1.3 IE下vbscript执行代码 <iframe src="vbscript:msgbox(1)"></iframe> 1.4 Chrome下data协议执行代码 <iframe src="data:text/html,<script>alert(1)</script>"></iframe> Chrome 1.5 上面的变体 <iframe src="data:text/html,<script>alert(1)</script>"></iframe> 1.6 Chrome下srcdoc属性 <iframe srcdoc="<script>alert(1)</script>"></iframe> 2. 有兴趣的,可以一个一个的去测试上面的效果,注意浏览器的特异性哦。 3. 接着我们来看看具体的例子。
上篇文章大致分享了web端的拍照方案。一个是input,另外一个是getUserMedia方法,实际上它是webRtc的一个API。
其实在线代码编辑器很早就存在了,例如: CodePen,CodeSanbox,JSFiddle 等等都是大家耳熟能详的。这些编辑器给开发者提供了这样的使用场景:当没有机会使用代码编辑器应用程序时,或者当你想使用计算机甚至手机快速尝试 Web 上的某些内容时,在线 Web 代码编辑器就会进行我们的视野。
做为一个前端程序猿,肯定应该知道很多与前端相关的知识,像是 HTML 或是 JS 相关的东西,但这些通常都与“使用”有关。例如说我知道写 HTML 的时候要语义化,要使用正确的标签;我知道 JS 应该要怎么用。可是有些知识虽然也跟网页有关,却不是前端程序员经常接触的。
<iframe> 标签(又称内联框架元素)表示了一个嵌套的浏览上下文(browsing context),实际上是用来在当前页面中内嵌另一个HTML页面。
前面的文章中,我们配置好了编辑器,实现了 css、html、js 的编辑,现在我们需要做代码实时运行的功能了,并且可以直接写 less、scss、可以写 JavaScript、typescript、react。这个就涉及到了浏览器编译代码的逻辑,前期我们编译语言少一点、先把整体流程跑通,后面可以对语言和功能再慢慢丰富,这也是做项目的主要思路。
最近看了掘金刚上线的在线代码编辑器 “码上掘金”,突然想是不是自己也可以写一个在线代码编辑器。
上回书说道,一个在线IDE所必备的条件之一——沙箱环境,我们讲了现在市面上主流的沙箱环境的原理
在b站视频点击分享,获取“嵌入代码” 如上图,获取的嵌入代码为: <iframe src="//player.bilibili.com/player.html?aid=247120140&bvid=B
ctfshow里面的xss刷题记录(有xss弹窗,建议若要点开请先关闭浏览器弹窗授权)
之前在文章《前端中存在的变量劫持漏洞》中对id已经有了一些认识,我们知道有如下知识:
goahead v5.1.4 存在环境变量注⼊漏洞 (CVE-2021-42342)
很多小伙伴想把B站的视频嵌入到自己的博客或者网站中,但直接使用官方视频下面的嵌入代码,网站用户就看不了高清、发不了弹幕,并且视频排版也很不美观。然后用户点击播放器里各种连接被引入源站,你相当于是无偿给他打广告的。
HTML5不再支持使用frame,关于frame与iframe的区别,可以参阅 iframe与frame的区别
(https://github.com/aemkei/katakana.js/blob/master/annotated.js)
周末干了一发bctf,因为周六出去玩了,所以没能看完所有的web题还是挺可惜的,先整理已经做了的2道火日聚聚的web题,后面在整理别的题目。
大家好,我是一个闲着没事热衷于重复造轮子的不知名前端,今天给大家带来的是一个代码在线编辑预览工具的实现介绍,目前这类工具使用很广泛,常见于各种文档网站及代码分享场景,相关工具也比较多,如codepen、jsrun、codesandbox、jsbin、plnkr、jsfiddle等,这些工具大体分两类,一类可以自由添加多个文件,比较像我们平常使用的编辑器,另一类固定只能单独编辑html、js、css,第二类比较常见,对于demo场景来说其实已经够用,当然,说的只是表象,底层实现方式可能还是各有千秋的。
0x00 前言 总结的一些xss的技巧(可能会持续更新),愿大佬勿喷,还有什么方法,大佬记得分享啊。有什么看不惯的错误请在本文留言,谢谢。 0x01 我认为最短的执行任意js代码 eval(name
声明:本文为稀土掘金技术社区首发签约文章,30天内禁止转载,30天后未获授权禁止转载,侵权必究!
kepler.gl作为开源地理空间数据可视化神器,也一直处于活跃的迭代开发状态下。而在前不久,kepler.gl正式发布了其2.4.0版本,下面我们就来对其重要的新特性进行介绍:
html5相对于以前的html(html4,xhtml等)更加简洁更加的人性化。主要体现在一下几个方面:
跨站点脚本 (XSS) 是最常见的 Web 应用程序漏洞之一。它可以通过清理用户输入、基于上下文转义输出、正确使用文档对象模型 (DOM) 接收器和源、执行正确的跨源资源共享 (CORS) 策略和其他安全实践来完全防止。尽管这些预防性技术是公共知识,但 Web 应用程序防火墙 (WAF) 或自定义过滤器被广泛用于添加另一层安全性,以保护 Web 应用程序免受人为错误或新发现的攻击向量引入的缺陷的利用。虽然 WAF 供应商仍在尝试机器学习,但正则表达式仍然是检测恶意字符串的最广泛使用的方法。
iframe 用于在页面内显示页面,使用 <iframe> 会创建包含另外一个文档的内联框架(即行内框架)
这是一份跨站脚本(XSS)备忘录,收集了大量的XSS攻击向量,包含了各种事件处理、通讯协议、特殊属性、限制字符、编码方式、沙箱逃逸等技巧,可以帮助渗透测试人员绕过WAF和过滤机制。
这绝对是我玩过的最乏味的一次XSS。 我使用Burp进行枚举,用高级选项来控制测试范围。
而且蛮力爆破也不可行,setInterval(() => requests = 10, 60000);使用 setInterval 函数,每隔 60000 毫秒(即每分钟)将 requests 的值重置为 10,也就是每分钟可以处理的请求数量。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
说到需要就不得不说一个经典的场景,一般前端做异常监控和错误上报,会采用自研或接入第三方 SDK 的形式,来收集和上报网站交互过程中 JavaScript 的报错信息和其它相关数据,也就是埋点。
img元素允许我们在HTML文档里嵌入图像。图像在HTML标记处理完毕后才加载!!
最近好像一直在鸽,主要是实验室最近有点忙,项目忙不过来,给各位观众老爷说声抱歉。今天介绍的是一款xss工具。XSS-LOADER
2、安装html2Canvas: npm install --save html2canvas
某次业务上线常规安全测试,有记录操作的功能,猜测存在存储型XSS漏洞,但由于存在长亭WAF被拦截。遂将之前总结的XSS绕过手段逐一测试了下。
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
hgame{7imeB4se_injeCti0n+hiDe~th3^5ecRets}
这道是ACTF的web签到题,是根据CVE-2021-42342 GoAhead 远程命令执行漏洞出的一道环境变量注入的题目,相对来说比较简单,按照p牛的文章就可以直接复现。
SwaggerUI是一个简单的Restful API测试和文档工具。简单、漂亮、易用(官方demo)。通过读取JSON配置显示API .项目本身仅仅也只依赖一些html,css,js静态文件.你可以几乎放在任何Web容器上使用
写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。
以下是我与同事和学生就如何优化深度模型进行的对话、消息和辩论的摘要。如果你发现了有影响力的技巧,请分享。
刷完了XSS challenge和XSS game 对XSS漏洞有了些许认识 在此做个小结与记录
Chrome 即将在 83 版本新增一个可信类型(Trusted types),其号称这一特性可以全面消除 DOM XSS,为此我连夜分析了一波,下面我就带大家来具体看一下这个特性:
专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。
本文介绍了几个深度学习模型的简单优化技巧,包括迁移学习、dropout、学习率调整等,并展示了如何用 Keras 实现。
最近做的项目使用mvc+webapi,采取前后端分离的方式,后台提供API接口给前端开发人员。这个过程中遇到一个问题后台开发人员怎么提供接口说明文档给前端开发人员,最初打算使用word文档方式进行交流,实际操作中却很少动手去写。为了解决这个问题,特意在博客园中搜索了一下api接口文档生成的文章,引起我注意的有两种方案。1.微软自带的Microsoft.AspNet.WebApi.HelpPage 2.swagger(我比较喜欢戏称为“丝袜哥”)
前面的文章文章我们写到了SDK的开发以及ak认证的实现,在本文我们继续讲讲地图SDK开发中的示例文档的实现。
领取专属 10元无门槛券
手把手带您无忧上云