Open hjzheng opened 10 years ago
关于 XSS 怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。 几乎每篇谈论 XSS 的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但 XSS 漏洞十几年来几乎从未中断过,不乏一些大网站也时常爆出,小网站更是家常便饭。 而本文介绍的则是另一种预防思路 —— 通过前端监控脚本,让每一个用户都参与漏洞的监控和上报。
原文地址: http://fex.baidu.com/blog/2014/06/xss-frontend-firewall-1/
什么是Fiddler? Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对Dev还是QA来说,都有很大的帮助。(千万不要告诉QA,要不然Dev会死的很惨,开个玩笑)
Fiddler官网 Fiddler原理 说白了, Fiddler就是夹在客户端和服务器端的一个代理, 劫持http请求和返回,从而达到双向欺骗效果
Dev常用功能: Fiddler中设置断点修改Request请求参数
bpu http://9.111.244.79:8080/xxxxx/j_spring_security_check
bpu
Fiddler中设置断点修改Response返回
bpafter http://9.111.244.79:8080/xxxxx/xxx/networks/getNetworkSummary.action
bpafter
Fiddler中创建AutoResponder规则 这个功能类似于chrome dev tools的workspace功能,只不过它不仅可以替换js文件,也可以替换任何http请求的返回。 在AutoResponder中建立相应的规则即可,即可替换文件,又可以模拟404,500等服务器返回状态。
用Fiddler修改User-Agents
扩展阅读:
接上次前端开发工具介绍,继续对Chrome Dev Tools进行介绍
hjzheng
commented
10 years ago
XSS 前端防火墙 (Zhen Ou Yun)
原文地址: http://fex.baidu.com/blog/2014/06/xss-frontend-firewall-1/
Fiddler (Hao Ju Zheng)
使用Fiddler提高工作效率
什么是Fiddler? Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对Dev还是QA来说,都有很大的帮助。(千万不要告诉QA,要不然Dev会死的很惨,开个玩笑)
Fiddler官网 Fiddler原理 说白了, Fiddler就是夹在客户端和服务器端的一个代理, 劫持http请求和返回,从而达到双向欺骗效果
Dev常用功能: Fiddler中设置断点修改Request请求参数
Fiddler中设置断点修改Response返回
Fiddler中创建AutoResponder规则 这个功能类似于chrome dev tools的workspace功能,只不过它不仅可以替换js文件,也可以替换任何http请求的返回。 在AutoResponder中建立相应的规则即可,即可替换文件,又可以模拟404,500等服务器返回状态。
用Fiddler修改User-Agents
扩展阅读:
Chrome Dev Tools使用2 (Hao Ju Zheng)
接上次前端开发工具介绍,继续对Chrome Dev Tools进行介绍