php mixed约束,Mixed Content: 混合被动/显示内容和混合活动内容_weixin_39891694的博客-程序员宅基地

技术标签: php mixed约束  

混合内容的类型

主要有两种类型的混合内容:混合被动/显示内容和混合活动内容。区别在于最坏情况的危险级别,假如内容重写是中间人攻击的一部分。在被动内容的情况下,威胁很低(网页可能出现损坏或误导性的内容)。在活动内容的情况下,威胁会导致网络钓鱼、敏感数据披露,重定向到恶意网站,等等。

混合被动/显示内容

混合的被动/显示内容是:使用HTTP的内容包含在一个HTTPS页面内,但它不能改变网页的其他部分。例如,攻击者可以用一个不适当的图像或消息 替换网页中一个使用HTTP的图像。攻击者也可以通过提供给用户的图像推断出用户的活动状况;某些图像往往只会在一个网站的一个特定页面上。如果攻击者观 察到用户以HTTP请求这些图像,他就可以确定用户正在访问哪些网页。

被动内容列表

本节列出了所有类型的HTTP请求被认为是被动的内容:

(src attribute)

(src attribute)

(src attribute)

subresources (when an performs HTTP requests)

混合活动内容

混合活动内容是:访问全部或部分HTTPS页面文档对象模型的内容。这种类型的混合内容可以改变HTTPS页面的行为并可能向用户窃取敏感数据。因此,除了上述混合显示内容所描述的风险,混合活动内容还很容易受到其他一些攻击向量的攻击。

在混合活动内容情况下,中间人攻击者可以拦截HTTP请求的内容。攻击者也可以重写响应来包含恶意的JavaScript代码。恶意的活动内容可以窃取用户的凭据,获得关于用户的敏感数据,甚至在用户的系统上安装恶意软件(例如,通过浏览器漏洞或插件)。

混合内容的风险取决于用户访问网站的类型和网站数据暴漏的的敏感程度。网页可能有公共访问数据或需有通过身份验证的私有数据。如果网页是公开的并且 没有关于用户的敏感数据,使用混合活动内容仍可能为攻击者提供将用户重定向到其他HTTP页面并从那些网站上窃取HTTP cookie的机会。

活动内容列表

本节列出了一些类型的被认为是活动内容的HTTP请求:

(href attribute) (this includes CSS stylesheets)

XMLHttpRequest object requests

(src attributes)

All cases in CSS where a url value is used (@font-face, cursor, background-image, etc.)

(data attribute)

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39891694/article/details/116145731

智能推荐

python打印99乘法表三角形_Python打印三角形图案和九九乘法表_麻一的博客-程序员宅基地

这里写两个Python打印图案和九九乘法表的案例,重点在于理解思路,Python与java之间的微妙区别还是大有存在的,有时候在写代码中无意间会被另一种语言机制所牵制,导致找不到问题,所以,需要细心分析各语言之间在哪些使用中有区别。用循环方式打印直角三角形和等边三角形,第二个循环的range(num1,num2)的第一个参数在这里可以省略,默认从0开始计算:def print_stars04(n)...

js保留两位小数方法总结_moxiaoran5753的博客-程序员宅基地

本文是针对js保留两位小数这个大家经常遇到的经典问题整理了在各种情况下的函数写法以及遇到问题的分析,以下是全部内容:一、我们首先从经典的“四舍五入”算法讲起1、四舍五入的情况var num =2.446242342;num = num.toFixed(2); // 输出结果为 2.452、不四舍五入第一种,先把小数边整数:Math.floor(15.7784514000 * 100...

margin_weixin_33912638的博客-程序员宅基地

一、margin移动的参考基线上图解析:box 的实际大小 = box 的物理大小 + 正的 margin(物理大小指的是除去 margin,也就是包含 border 以内的 box 大小)如果是负的 top 或 left 值会引起 box 的向上或向左位置移动,如果是负的 bottom 或 right 会影响下面 box 的显...

断点的使用技巧(未完待补充)_jacknathan的博客-程序员宅基地

断点的使用技巧在最初的时候不会用断点,碰到循环里特点条件断点或者特定条件下查看对象的状态属性时,我会傻傻的的去写个if语句,然后重新运行,断点完了后运行,然后再把if和log代码删除,非常低效,其实断点是可以设置属性的。断点有4个属性可以设置ConditionIgnoreOptionActionConditon, 就是断点条件,输入条件表达式后,当符合条件时断点才会

Vue的element UI关于el-upload的按钮和button不在同一行的解决_sk无法的博客-程序员宅基地_el-upload 不换行

首先,我们知道,在upload组件里内置,slot标签以及trigger属性,可以保证各个按钮button在同一行。但是,存在两个问题:①upload中的button总是在第一个位置,无论你怎么调整都是在第一个位置。②upload中标签总是和相邻标签在一起。①一但我们去掉trigger,即可恢复正常,但是会形成上下两行,所以应当给上传组件加一个css,并设置为inline-block。②同时把其他的button写在upload组件外面,并可以去掉trigger属性。③再对button的maigi

随便推点

network-manager与interfaces冲突_淡水无痕的博客-程序员宅基地

网络配置的两种方式Ubuntu下修改网络配置有两种方式:图形界面方式(network-manager)和修改/etc/network/interfaces但是如果两种方式的网络设置不同,就会产生冲突,即:network-manager与/etc/network/interfaces文件冲突。Server版本在Ubuntu Server版本中,因为只存有命令行模式,所以要想进

java编译时出现无法从静态上下文中引用非静态_JJasonHwang的博客-程序员宅基地_无法从静态上下文中引用非静态

编译出现: rray_test1.java:15: 错误: 无法从静态上下文中引用非静态 方法 arrayset()解决方法: 子方法 private void arrayset() 改为 private static void arrayset()

C++中cin、cin.get()、cin.getline()、getline()、gets()、getchar()的用法比较_hcx11333的博客-程序员宅基地

一、cin最基本的读入函数,从缓冲区中读入一个数字、一个标点或一个字符串,遇到空格、回车、制表符等结束。#include <iostream>using namespace std;int main(){ char s[20]; cin >> s; cout << s << endl;}输入:abcabcabc输出:ab...

计算机网络技术自谋职业,过去认知或许都是错的 主编告诉你游戏PC该怎么选_徐聪瓜要努力的博客-程序员宅基地

每一年随着CPU、GPU的升级,各家厂商就会对旗下的游戏型PC进行更新,而在选购上的建议则是崇尚买新不买旧,毕竟新品在性能上肯定比老品来的强,而且大家选购游戏型PC的核心要素是获得良好的游戏体验,性能越高自然更容易满足这个核心要素。过去很多年我们总在说游戏人群,但我们似乎忽略了在庞大游戏人群中的细分化趋势,认为但凡是游戏人群选购需求点肯定是完全相同的,实际上游戏人群中的每一个细分团体的诉求是完全不...

flutter框架一文通(二)_barnettyj的博客-程序员宅基地

(续)第三部分 StatefulWidget 带界面改变交互的组件三十五. FittedBox //自适应填充盒模型此盒子允许他的子组件有自适应性imageimageimport 'package:flutter/material.dart';void main() => runApp(MyApp());class MyApp extends StatelessWidget { @override Widget build(BuildContext .

开源通用后台管理系统_风水道人的博客-程序员宅基地

前言这套Base Admin是一套简单通用的后台管理系统,主要功能有:权限管理、菜单管理、用户管理,系统设置、实时日志,实时监控,API加密,以及登录用户修改密码、配置个性菜单等。技术栈前端:layuijava后端:SpringBoot + Thymeleaf + WebSocket + Spring Security + SpringData-Jpa + MySql工程结构说明java部分、html、js、css部分都是大目录下面按单表一个子目录存放运行预览效果先睹

推荐文章

热门文章

相关标签