网站安全政策csp防止xss攻击

2020-07-28 17:17:58 阅读:2230

xss攻击可以说是最常见的攻击了,防不胜防,因为我们总不能任何的post提交都挨个检查和过滤xss吧?有些正常的xss可能也会被加载怎么办?所以我们就需要使用内容安全政策,简称csp,以下内容我都用简拼csp,就不再说网站安全政策几个字了。csp说的直白点,就是告诉打开网页的浏览器,哪一些东西在这个网页允许被加载,哪一些东西在这个网页不允许被加载,本质上和白名单差不多。可以说,csp是防止xss攻击的利器!因为目前很多网站攻击,都会基于xss的post提交攻击,当用户post提交之后,xss如果没被过滤,那么打开网页,就会执行这个xss地址了,网站被攻击就变得很容易。由于csp设置方法很多,防护等级也不同,我这边只介绍最简单和最常用的方法:不符合csp规则的链接和资源禁止被加载!使用方法:1.http头信息2.http的meta标签,我这里主要说一下使用meta标签的方法:在html中,使用meta标签,如下:上面这一行的意思是,当页面加载的时候,所有的引用,比如:css、js、img、iframe、font等,只能引用当前域名下的,其他域名的引用资源将不再被加载!当然,这是一个范限制,您可以精确到每一个步骤,比如所有资源都是只允许当前域名,但是script可以允许使用其他的域名:还可以不限制某些链接,比如不限制css的引入地址:当然除此之外,还可以有其他的限制,就不一一列举了,我直接把限制的名字发出来:script-src:外部脚本style-src:样式表img-src:图像media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)connect-src:HTTP连接(通过XHR、WebSockets、EventSource等)worker-src:worker脚本manifest-src:manifest文件

如何使用百度一键导航到目的地

2020-07-28 16:31:57 阅读:1953

直接导航目的地 body,html,#allmap{width:100%;height:100%;overflow:hidden;margin:0;font-family:"微软雅黑";} varmap=newBMap.Map("allmap"); varpoint=newBMap.Point(118.802463,35.205134); map.centerAndZoom(point,16); map.enableScrollWheelZoom(); varmyIcon=newBMap.Icon("myicon.png",newBMap.Size(30,30),{ anchor:newBMap.Size(10,10) }); varmarker=newBMap.Marker(point,{icon:myIcon}); map.addOverlay(marker); vargeolocation=newBMap.Geolocation(); geolocation.getCurrentPosition(function(r){ if(this.getStatus()==BMAP_STATUS_SUCCESS){ varmk=newBMap.Marker(r.point); map.addOverlay(mk); //map.panTo(r.point);//地图中心点移到当前位置 varlatCurrent=r.point.lat; varlngCurrent=r.point.lng; //alert('我的位置:'+latCurrent+','+lngCurrent); location.href="https://api.map.baidu.com/direction?origin="+latCurrent+","+lngCurrent+"&destination=35.205134,118.802463&mode=driving®ion=临沂市&output=html"; } else{ alert('failed'+this.getStatus()); } },{enableHighAccuracy:true}) map.addOverlay(marker); varlicontent="湖南*****有限公司"; licontent+="地址:龙岗市***区解放路1888号"; licontent+="电话:0539-88881234"; varopts={ width:200, height:80, }; varinfoWindow=newBMap.InfoWindow(licontent,opts); marker.openInfoWindow(infoWindow); marker.addEventListener('click',function(){ marker.openInfoWindow(infoWindow); }); 将以上代码复制,然后到lbs.baidu.com申请一个key换上,然后在你的网站里面加上链接到这个页面,用户点击连接的时候,跳转到这个页面,这个页面就会自动获取用户当前所在的位置,并生成当前位置到设置好的目的地的路线。

html常见操作小技巧

2019-05-14 11:10:35 阅读:2250

1.表示页面同时适合在移动设备和PC上进行浏览2.防止页面被百度强制转码:3.网站的自适应规则:user-scalable=yes是声明网页可以缩小放大。intial-scale是表示页面的首次加载缩放尺寸,1.0表示无任何缩放user-scalable:是否可对页面进行缩放,no禁止缩放4.防止页面里面数字点击调用手机拨号功能:禁止跳转邮箱:禁止跳转地图:禁止链接高亮:5.新增视频在网页显示:yourbrowserdoesnotsupportthevideotag6.文本框加语音搜索功能:文本框加属性:x-webkit-speech7.常用标签:标记定义一篇文章标记定义页面内容部分的侧边栏标记定义音频内容标记定义图片标记定义一个命令按钮标记定义一个下拉列表标记定义一个元素的详细内容标记定义一个对话框(会话框)标记定义外部的可交互的内容或插件标记定义一组媒体内容以及它们的标题标记定义一个页面或一个区域的底部标记定义一个页面或一个区域的头部标记定义文件中一个区块的相关信息标记定义表单里一个生成的键值标记定义有标记的文本标记定义measurementwithinapredefinedrange标记定义导航链接标记定义一些输出类型标记定义任务的过程标记是用在Rubyannotations告诉那些不支持Ruby元素的浏览器如何去显示标记定义对rubyannotations的解释标记定义rubyannotations.标记定义一个区域标记定义媒体资源标记定义一个日期/时间标记定义一个视频

上报错误