最近有白帽反馈了接入Sentry的安全漏洞,坏人可以进行SSRF攻击(Server-Side Request Forgery),其实还是挺普遍的,让我们来了解下。
「 微信开发 」深入分析微信小程序安全与管控
Posted on
|
Comments:
思考
写了那么多小程序,你思考过小程序的安全问题么?
为什么小程序支持跨域?
小程序中有xss,crsf攻击吗?
为什么小程序只支持request cookie,不支持response set cookie呢?
为什么小程序不支持动态加载js?什么叫动态加载js?eval和new Function有什么可怕之处?
真的没有绕过小程序审核热更新的方法吗?
小程序的登录设计有哪些安全考虑?
可以肉眼区分一个页面是小程序还是web-view吗?
今天我们就来深入理解小程序的安全设计和管控。
先限定下范围,虽然头条小程序,支付宝小程序,QQ小程序层出不穷,但本文主要从微信小程序说起。
小程序中也支持web-view,内嵌网页这类不在本文讨论范围之中,因为和浏览器是一样的,还是不支持跨域,会有XSS等。
「 功能点 」国际化的一些思考和注意事项
Posted on
|
Comments:
从后端国际化转向了使用vue-i18n前端国际化,不再会出现因为资源缺失导致的service error了,近期又全面整理了下国际化中踩过的坑,分享给大家。
「 安全 」从 referrer 白名单说到CORS攻击点
Posted on
|
Comments:
看到一个抢红包的活动页,准备把接口copy出来自动测试却发现403了,这种情况一般都是因为有 referrer
校验。我们也经常会通过 referrer
白名单来限制接口的盗用,今天来分析下可能存在的攻击点。