HTTP request smuggling CL.TE
CL.TE 简介 前端通过Content-Length处理请求,通过反向代理或者负载均衡将请求转发到后端,后端Transfer-Encoding优先级较高,以TE处理请求造成安全问题。 检测 发送如下数据包 POST / HTTP/1....
学习 bypass csp记录
最近看到一篇bypas csp的记录复现学习下 配置csp 这里直接设置html头达到配置csp的效果。 Content-Security-Policy: script-src 'self' 'unsafe-inline' 创建html,加载js,代...
【转载】基于dom的一些前端漏洞
最直接的xss —-dom xss function trackSearch(query) { document.write('<img src="/resources/images/tracker.gif?searchTerms='+query+'"