Tag: # 资料收集

整理了五种检测虚拟机环境的技术手段，涵盖指令级特征识别与系统级痕迹检查。指令级方法包括利用RDTSC指令执行周期差异判断虚拟化类型，以及通过VMware专用IO端口0x5658的"后门"指令序列获取版本信息；系统级方法涉及检测特定虚拟化进程 阅读全文

针对用户输入内容嵌入页面时可能引发的XSS漏洞，核心防御策略是将特定字符转义为HTML实体。必须替换的字符包括：小于号转为<、大于号转为>、与号转为&、双引号转为"、单引号转为'。 阅读全文

同源策略限制脚本仅能访问相同域名下的资源，是防范XSS攻击的基础机制。当Web应用未对用户输入进行有效过滤或编码时，攻击者可通过URL参数、表单、Cookie等不可信数据源注入恶意脚本。以微博为例，若参数"u"未经处理直接输出，攻击者构造含 阅读全文

跨站脚本攻击（XSS）是一种通过注入恶意脚本到HTML文档中执行的安全威胁，攻击者常利用页面中的变量替换、标签属性或事件处理程序等漏洞实施攻击。防范XSS需针对不同上下文采取相应的输入过滤与转义策略，包括普通文本、标签属性、URL属性、样式 阅读全文

UTF-7是一种为SMTP设计的7位字符编码方案，通过BASE64将8位数据转换为可见ASCII字符。在XSS攻击场景中，若网页未明确声明字符集，IE等浏览器可能自动将包含UTF-7编码内容（如+ADw-script+AD4-alert(1 阅读全文

针对IE9及以下浏览器缺乏ECMAScript 5支持的问题，整理了多个JavaScript兼容库实现方案。核心库ecma-5.js通过特性检测方式，为缺失的Array方法（isArray、forEach、map、filter、reduce 阅读全文

HTTP状态码用于表示网页服务器HTTP响应状态，不仅包含常见的200、301、302、400、500等，还存在诸多易被忽略的非常用代码。实际开发中，请求成功除200外亦可能返回201等状态，仅依据部分常见码进行程序判断易导致逻辑偏差。 阅读全文

CSS选择器优先级别遵循W3C规范中的特定计算规则，由四个维度a-b-c-d按权重组合决定。行内样式（style属性）优先级最高（a=1），ID选择器次之（b=1），类选择器、属性选择器及伪类再次（c=1），元素名与伪元素最低（d=1）。 阅读全文