网络广告公司的恐慌 XSS广告终结者(html5新特性)
人们在平时网络冲浪的时候,有时候会发现当前网站有很多莫名其妙的广告,这些广告会被导向到站外。
这些广告可能是你安装了一些免费网络软件后强制安装的浏览器插件导致的。
譬如chrome浏览器:
导致google显示如下广告:
Geo Edge插件会向当前页面引入一个脚本,该脚本会将广告的DOM插入到页面任何位置。
插件引入广告植入脚本:
现在html5出了个 Contnt-Security-Policy特性,只要在response里加上该header,任何外来域名的资源(css、image、js)等都被屏蔽掉:
我们来个测试如何:
<?php header("Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.baidu.com");echo <<< EOT<!DOCTYPE html><html ><head> <script> var tfx_to={ createXMLHttpRequest:function(){ if (window.XMLHttpRequest) { return new XMLHttpRequest(); } else if (window.ActiveXObject) { return new ActiveXObject("Microsoft.XMLHttp"); } }, post:function(pt,url,callback,sync){ var validateResult = function() { if(xt.readyState==4) { if(xt.status==200) { callback(xt.responseText); } } } var xt=this.createXMLHttpRequest(); xt.onreadystatechange=validateResult; xt.open("POST", url, sync); xt.setRequestHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); xt.send(pt); } } function callback(data){
alert(data);
} tfx_to.post(null,"http://www.csdn.net",callback,false); </script></head><body> <div id="container" style="width: 1888px; height: 2890px; margin: 0 auto">aaabbba</div></body></html>EOT;?>header("Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.baidu.com");这个header只限制当前Websites的资源域名为百度而ajax去call的csdn的域名,看浏览器控制台报错:
违反了 内容安全策略,该资源没法加载
支持的浏览器,绿色部分:
转载于:https://www.cnblogs.com/liuminghai/p/4364951.html
网络广告公司的恐慌 XSS广告终结者(html5新特性)相关推荐
- HTML中三维特性,前端进阶系列(三):HTML5新特性
HTML5 是对 HTML 标准的第五次修订.其主要的目标是将互联网语义化,以便更好地被人类和机器阅读,并同时提供更好地支持各种媒体的嵌入.HTML5 的语法是向后兼容的.现在国内普遍说的 H5 是包 ...
- html5新特性与用法大全了解一下
有好多小伙伴私聊我问我html5新特性 和用法,下面我给大家具体介绍一下html5都新加了哪些新特性,下面我给大家总结一下. 1)新的语义标签 footer header 等等 2)增强型表单 表单2 ...
- HTML5新特性归纳和同类比较
第一章 HTML5定义 什么是 HTML5? HTML5 是下一代HTML标准. HTML , HTML 4.01的上一个版本诞生于1999年.自从那以后,Web世界已经经历了巨变. HTML5 仍处 ...
- html5储存类型特点,避免踩雷!你不得不知的 HTML5 “新”特性
什么是 HTML5 HTML的发展历程如下: 产生于1990年 1997年 HTML4 出现,成为互联网开发的标准 2008年,HTML5正式出现,2002年趋于稳定 HTML在发展过程中,HTML4 ...
- html5新特性有哪些?
一省:HTML 1. html5新特性有哪些? 新增语义化标签:header.nav.aside.article.section.footer 拖放属性:drag/drop.拖放是一种常见的特性,即抓 ...
- HTML5新特性的学习笔记
HTML5新特性的学习笔记 HTML 超文本标记语言: HyperText Markup Language 这份学习笔记的主要内容是HTML5的新标签 基于菜鸟教程的个人向学习笔记 菜鸟教程 文章目录 ...
- HTML5新特性总结 1
文章目录 HTML5 HTML5 浏览器支持 HTML5新元素 HTML5 Canvas 浏览器支持 创建一个画布(Canvas) 使用 JavaScript 来绘制图像 画线.画圆.写字.渐变效果 ...
- 百度开发者大会-《用HTML5新特性开发移动App》PPT分享
今天百度开发者大会,移动互联网分论坛,我的主题演讲<用HTML5新特性开发移动App>PPT分享如下. 完整PPT可在Slideshare观看,或者在百度开放云平台上下载到.
- html5新特性:利用history的pushState等方法来解决使用ajax导致页面后退和前进的问题
html5新特性:利用history的pushState等方法来解决使用ajax导致页面后退和前进的问题 参考文章: (1)html5新特性:利用history的pushState等方法来解决使用aj ...
- 【阿里云大学课程】前端必知——HTML5新特性完整视频教程(音频、视频、画布、web存储、动画……)...
HTML5是HTML最新的修订版本,2014年10月由万维网联盟(W3C)完成标准制定,其设计目的是为了在移动设备上支持多媒体. 本课程中,你将学习到下列这些HTML5新特性(点击下列课时立即学习): ...
最新文章
- mysql 二进制日志 解析c++_mysql二进制日志文件恢复数据库
- appium获取元素节点的方法_Appium学废系列(四) 如何写出优雅又健壮的脚本
- IOS中的JSON数据的解析
- 大学生一定记得要做的十八件事情
- JavaScript_process01
- 写给《我也能做CTO》作者的一封信
- 小强的HTML5移动开发之路(32)—— JavaScript回顾7
- 线性代数第九版中文版pdf_线性代数第九版StevenJ Leon.pdf
- SIMULATE 受力分析简单教程
- M1 芯片Macbook pro连接支持AirPrint的佳能打印机
- python运行内存不足_python svm内存不足怎么解决?
- [005量化交易] python收盘价绘图
- Ubuntu 安装Docker 常用命令
- imageView图片放大缩小及旋转
- 安全研究 # Neural Network-based Graph Embedding for Cross-Platform Binary Code Similarity Detection
- 从FutureTask内部类WaitNode深入浅出分析FutureTask实现原理
- 常用软件密码破解完全指南[转]
- 读论文,衣物检索:Clothing Retrieval with Visual Attention Model(2017.10.31)
- android.内存监控,android的内存监控
- 51单片机控制步进电机Protues仿真设计