(一)模板繼承
????????????模板繼承可以減少頁面內(nèi)容的重復(fù)定義晒喷,實(shí)現(xiàn)頁面內(nèi)容的重用
????????????代碼
在模板里面創(chuàng)建一個(gè)基礎(chǔ)頁面(base.html)
在創(chuàng)建一個(gè)繼承頁面
(二)跨站攻擊
定義:業(yè)界對(duì)跨站攻擊的定義如下:“跨站攻擊是指入侵者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù),用戶認(rèn)為該頁面是可信賴的,但是當(dāng)瀏覽器下載該頁面脖岛,嵌入其中的腳本將被解釋執(zhí)行。”由于HTML語言允許使用腳本進(jìn)行簡單交互,入侵者便通過技術(shù)手段在某個(gè)頁面里插入一個(gè)惡意HTML代碼杆煞,例如記錄論壇保存的用戶信息(Cookie),由于Cookie保存了完整的用戶名和密碼資料腐泻,用戶就會(huì)遭受安全損失决乎。如這句簡單的Javascript腳本就能輕易獲取用戶信息:alert(document.cookie),它會(huì)彈出一個(gè)包含用戶信息的消息框派桩。入侵者運(yùn)用腳本就能把用戶信息發(fā)送到他們自己的記錄頁面中构诚,稍做分析便獲取了用戶的敏感信息。
兩種方式
其一由于HTML語言允許使用腳本進(jìn)行簡單交互铆惑,入侵者便通過技術(shù)手段在某個(gè)頁面里插入一個(gè)惡意HTML代碼——例如記錄論壇保存的用戶信息(Cookie)范嘱,由 于Cookie保存了完整的用戶名和密碼資料,用戶就會(huì)遭受安全損失员魏。
其二XST攻擊描述:攻擊者將惡意代碼嵌入一臺(tái)已經(jīng)被控制的主機(jī)上的web文件丑蛤,當(dāng)訪問者瀏覽時(shí)惡意代碼在瀏覽器中執(zhí)行,然后訪問者的cookie逆趋、http基本驗(yàn)證以及ntlm驗(yàn)證信息將被發(fā)送到已經(jīng)被控制的主機(jī),同時(shí)傳送Trace請(qǐng)求給目標(biāo)主機(jī)晒奕,導(dǎo)致cookie欺騙或者是中間人攻擊闻书。
攻擊條件
XST:
1、需要目標(biāo)web服務(wù)器允許Trace參數(shù)脑慧;
2魄眉、需要一個(gè)用來插入XST代碼的地方;
3闷袒、目標(biāo)站點(diǎn)存在跨域漏洞
