XSS
cross-site scripting 跨站点脚本,为了避免与css冲突,命名为XSS。它是将恶意代码作为一个网页内容,这些恶意代码会注入到用户的浏览器中并执行,从而使用户受到攻击,常见的有窃取用户的cookie。对web服务器无直接危害。
解决方法:
在服务器端通过filter过滤检查提交参数的合法性。
CRLF
HTTP响应拆分漏洞,也叫CRLF注入攻击。CR,LF分别对应回车和换行字符,如果用户输入的值部分注入了CR,LF,可能改变HTTP抱头结构。
攻击者通过注入自定义的HTTP头信息,进行XSS攻击。
property & attribute
property 是DOM中的属性,是javascript里的对象。
attribute是HTML标签上的特性,它的值只能是字符串
DOM有默认的基本属性,它们都会在初始化时在DOM对象上创建。
attribute是property的一个子集,它保存了HTML标签上定义的属性,attribute会初始化property 中的同名属性,但自定义的attribute不会出现在property中。