首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    对抗蠕虫 —— 如何让按钮不被 JS 自动点击

    假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 —— XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言。好友看了中招后,又传播给他们的好友。。。...那么有没有一种机制,让「发表留言」必须通过用户的「真实点击」按钮才能完成,而无法通过脚本自动实现?这样就能减缓蠕虫传播速度了。...演示 Demo: http://www.etherdream.com/FunnyScript/anti-xssworm/ 注意:这个案例不是看能不能注入 XSS,而是看能不能通过当前页面的 JS 自动发留言...这里为简单,省略了登录态;真实场合下,会话 Cookie 是 HttpOnly 的,无法被 JS 获取到,也就无法让第三方服务器代替发表。...细节: 使用者加载 safebutton.js,引入 SafeButton 类 使用者实例化 SafeButton 对象 A,创建出一个不同源的 iframe 作为按钮界面 用户点击 iframe 按钮后

    9.2K60

    js动态添加div

    问题 有没有遇到过这样的需求, 在页面上会有不定个input, 点击添加按钮就添加 ?...每次写这玩意好麻烦啊, 把他封装起来, 需要的时候调用就好了 思路 因为每个input标签的name如果相同的话, 在后端接收的时候会出错, 所以我的解决办法就是在name后加上一个数字, 后端用一个循环进行接收 点击第一行的添加...点击的时候, 将div准备好, 添加到内容div中的第一个 点击每行的添加 将div添加到当前点击行后面一个 点击每行删除 删除当前div 实现 基本思路很简单, 只要在每个点击按钮上添加对应的点击事件...我在封装的时候喜欢先想用的时候怎么用, 然后根据这个思路来想应该怎么封装, 思考如下 因为添加的div肯定是不同的, 是需要传的参数, 但是如果直接传div字符串也太丑了, 应该在页面直接写HTML,...'] || 'content_div_id'; var exampleDivId = params['example_div_id'] || 'example_div_id'; var

    24.4K40
    领券