xxs知识点简短速记

分类:

1.反射型(外部输入后,在浏览器端输出触发)

2.存储型(东西存在文件中,web程序读取代码并输出)

知识点1:

html实体编码:

HTML 实体编码 的规则是: &# + 十进制 ASCII 码 + ;

  • 字母 r 的十进制 ASCII 码是 114
  • 所以它的 HTML 实体编码就是 r

CSRF:到底是什么?

黑客没偷你的证件(他拿不到 Cookie)。

黑客只是骗你点了一下按钮(利用了你还在登录状态的权限)。

结果: 在你完全不知情的情况下,你的身份被黑客**“借用”**了。

举例:

<img= src=1 oner&#114;or=ale&#114;t(1)>

知识点2:

Referer 是看你从哪来

Token 是看你带没带暗号

Sec-Fetch

  • Sec: 是 Security(安全)的缩写。
  • Fetch: 翻译为 “获取”“抓取”(在编程里指代发起一个网络请求)。
  • 合起来的意思: “安全获取元数据”(Security Fetch Metadata)。

它是浏览器在发起请求时,自动给服务器打的“防伪标签”。它告诉服务器:这个请求是谁发起的、是怎么发起的、为什么要发起。