本文已收录在前端食堂Github github.com/Geekhyt，感谢Star。 从胡子的长度和忧郁的眼神我察觉到，面前坐着的这位面试官应该有点东西，浑身上下流露着打过 CTF 的气场。我像以往一样，准备花3分钟的时间进行自我介绍。在此期间，面试官面无表情但很有耐心的听着…

xss: 跨站脚本攻击（Cross Site Scripting）是最常见和基本的攻击 WEB 网站方法，攻击者通过注入非法的 html 标签或者 javascript 代码，从而当用户浏览该网页时，控制用户浏览器。 DOM即文本对象模型，DOM通常代表在html、xhtml和…

http劫持分两种，一种是DNS劫持（域名劫持），另一种是关联内容劫持。 后者是基于前者发展起来的，比较高级的劫持手段。 在可劫持的网络范围内，拦截 域名解析 的请求，分析其域名，把拦截条件范围外的放行，范围内的返回篡改后的ip或失去响应。 使特定网络无法响应或返回假地址。 对…

开始正式介绍DNS劫持之前，先与HTTP劫持做一个比较，可能有助于有些同学对下文更容易理解更深入一点。 DNS(Domin Name System or Domain Name Service)，域名解析系统(服务) ：在网络世界中，服务器（server）是通过IP 地址标识的…

运营商、黑客、浏览器厂商、手机厂商，通过某些方式篡改了用户正常访问的网页，插入广告或者其他一些杂七杂八的东西。在一些偏远地区、杂牌运营商尤为常见。 一般而言，用户上网的DNS服务器都是运营商分配的，所以在这个节点上，运营商可以为所欲为。 例如，访问http://jiankang…

最近深入了解了一下 XSS 攻击。以前总肤浅的认为 XSS 防御仅仅只是输入过滤可能造成的 XSS 而已。然而这池子水深的很呐。