otherwindow.postmessage(message, targetorigin);
otherwindow:指目標視窗,也就是給哪個window發資訊,是window.frames 屬性
window.open 方法建立的視窗
postmessage
需要特別嚴謹驗證:輸入,origin
如:驗證domain 是不是等於 「的 -》
popup = window.open(domain+'其他路徑',『mywindow』); popup.postmessage(message.domain);
然後建立監聽事件:
window.addeventlistener('***', function
(event),false)
https的站不建議使用onmessage
不要相信任何人給發的鏈結
data: 資訊
origin: 資訊**位址
source: 源domwindow 物件
var onmessage = function (event)
if (typeof
window.addeventlistener != 'undefined') else
if (typeof
window.attachevent != 'undefined')
空referer或js的url跳轉漏洞會繞過白名單referer限制
window.open 到iframe裡的時候,瀏覽器popup blocker不會提示
origin校驗可能會不嚴謹:indexof(「www.wooyun.org」 ) !=-1
regexp(「^ 這裡的點可以表示任意字元
ref:來自 烏雲著名段子手—— 呆子不開口
黑帽白帽問題
題目 總共有3頂黑帽子,2頂白帽子。a,b,c三人分別在關燈時隨機拿起一頂帽子戴上。開燈之後,a看完b和c帽子,說不知道自己戴的是什麼帽子。b看完a和c的帽子,也說不知道自己戴的是什麼帽子。c本來聽完a說的話,也不知道自己戴的什麼帽子,但是聽完b的話後,知道了自己戴的是什麼帽子。a,b,c三人均不會...
白帽偽裝white hat cloaking案例
以下站長俱樂部裡面的提出的乙個cloaking偽裝問題 尊敬的lee您好,我一直關注著貼吧站長吧,而且也學到了不少關於與 之間關係,也很感謝給我們站長朋友帶來的幫助。但是,我這裡一直有個不知道怎麼解決的問題。所以還請lee朋友指點一下。我的 是www.fuwuta.com建立已經有2個多月了。當時系...
白帽SEO和黑帽SEO
不過,正如人不能簡單地以非好即壞評判一樣,這樣的非黑即白 非白即黑事實上也不能準確概括seo市場的實際情況,畢竟中間存在著很多過渡色。站在黑帽seo的立場上,這種放長線掉大魚的策略,即使很正確,有的人也不願意這麼做。認真建設乙個 有的時候是一件很無聊的事。你要寫內容,要做調查,要做分析流量,要分析使...