Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1203009
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-25 16:47:45

l  http://dev.w3.org/2006/webapi/XMLHttpRequest/

12
10号是最近一次更新。

安全增强有如下方面:

Request
无法写 Set-Cookie/2 Header (发送已经存在的cookie没有问题)
Response
无法读 Set-Cookie/2 Header

(
绕过httponly的方法又少了一种)

防范了Response Headers里的 CRLF 

在中setRequestHeader(header, value), method 
禁止了下列HEADER

l  Accept-Charset

l  Accept-Encoding

l  Authorization

l  Connection

l  Content-Length

l  Cookie

l  Cookie2

l  Content-Transfer-Encoding

l  Date

l  Expect

l  Host

l  Keep-Alive

l  Referer

l  TE

l  Trailer

l  Transfer-Encoding

l  Upgrade

l  User-Agent

l  Via


Anehta
受影响的部分:
anehta.ajax 库中
                o.setRequestHeader("Content-Length", data.length);
                o.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
               
                o.setRequestHeader("Cookie", document.cookie);

阅读(985) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~