selfxss（selfxss和csrf）

这图片出自哪里？？？？？

Fate UBW

CLANNAD

Angel Beats

幻想嘉年华

境界上的地平线

无限斯特拉托斯（IS）

我们没有翅膀

猫物语

化物语

冰菓外传

Fate zero

Fate stay night

未来日记

AIR

KANON

未闻花名

织田信奈的野望

悠久之翼

破刃之剑

明日的与一

弑神者

游魂

架向星空之桥

染红的街道

绯弹的亚里亚

樱花庄的宠物女孩

中二病也要谈恋爱

灼眼的夏娜

龙与虎

伪物语

寒蝉鸣泣之时

C钱未来时

学生会的一己之见

K

恋爱与选举与巧克力

迷途猫

猫愿三角恋

无头骑士异闻录

刀剑神域

元气少女缘结神

shuffle

仰望半月的星空

青之驱魔师

赤色的约定

曾几何时天魔的黑兔

机巧魔神

零之使魔

龙之界点

祝福的钟声

冰菓

缘之空

食零灵

蜂蜜与四叶草

school days

纯白交响曲

最后的魔王

妖狐仆xSS

天降之物

出包王女

邻座的怪同学

潜行吧！奈亚子

myself;yourself

R-15

dog days

腹黑妹妹控兄记

我的妹妹不可能那么可爱

妄想学生会

我的朋友很少

canaan

少年阴阳师

白色相簿

电波女与青春男

大神与七位伙伴

迷茫管家与懦弱的我

初音岛

轻音少女

旋风管家

只有神知道的世界

神薙

玩伴猫耳娘

战场女武神

我们的存在

加速世界

翼年代记

贫乏神来了

少年同盟

白兔糖

恋爱随意链接

竹刀少女

魔法少女奈叶

愿此刻永恒

光明之泪

空罐少女

夏目友人帐

天使领域

R．O．D

Muv-Luv

11eyes

武装神姬

花开物语

我的女神

我家有个狐仙大人

another

圣诞之吻

命运石之门

仰望天空的少女

三人行必有我妹

最强会长黑神

乃木板春香的秘密

罪恶王冠

青空下的约定

回转企鹅罐

SA优特生

纯爱物语

南家三姐妹

辉之季节

天上天下

校园迷糊大王

恶作剧之吻

相邻为伴

黑执事

刀语

神曲奏界

四娘物语

食梦者

黑岩射手

这样算是僵尸吗？

守护猫娘绯鞠

好想告诉你

BLOOD-C

濑户的花嫁

B型H系

圣剑锻造师

Kiss x sis

高校龙中龙

你是主人我是仆

玛莉亚狂热

MM一族

akb0048

家庭教师

如何判断一个页面是否不允许嵌套？

1. js如何判断是否在iframe中

Js代码

//方式一

if (self.frameElement self.frameElement.tagName == "IFRAME") {

alert('在iframe中');

}

//方式二

if (window.frames.length != parent.frames.length) {

alert('在iframe中');

}

//方式三

if (self != top) {

alert('在iframe中');

}

2. 防止网页被别站用 iframe嵌套

将下面的代码加到您的页面 head/head 位置即可：

Js代码

script language="javascript"

!--

if (top.location != location)

{

top.location.href = location.href;

}

//--

/script

//或

script language="javascript"

if(self!=top){top.location.href=self.location.href;}

/script

这个就能让别人无法用iframe嵌套你网站的任何页面,实现的效果是：输入盗链你网站的那个地址后会自动跳到你的网站。

不可靠的原因：

当别人用如下类似代码做IFRAME嵌套调用时，就可能躲过你的页面的javascript代码。

Js代码

iframe src="你的页面地址" name="tv" marginwidth="0" marginheight="0" scrolling="No" noResize frameborder="0" id="tv" framespacing="0" width="580" height="550" VSPACE=-145 HSPACE=-385/iframe

script language="javascript"

var location="";

var navigate="";

frames[0].location.href="";

/script

2.最可靠的 *** ：

为了彻底防止别人用IFRAME框架嵌套调用自己的网页，如下 *** 是最可靠的.

这里赋值为空页面,也可赋值为你的页面的URL地址.

Js代码

script language="javascript"

if(top != self){

location.href = "about:blank";

}

/script

还有一个完全屏蔽被iframe的 *** 就是添加：

Html代码

header("X-Frame-Options: deny");

header("X-XSS-Protection: 0");

这个也是加载iframe是产生错误“Load denied by X-Frame-Options: ××××.php does not permit framing.”的原因！

如何使用 HTTP 响应头字段来提高 Web 安全性

在 Web 服务器做出响应时，为了提高安全性，在 HTTP 响应头中可以使用的各种响应头字段。

X-Frame-Options

该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面，主要用来防止 Clickjacking （点击劫持）攻击。

X-Frame-Options: SAMEORIGIN

DENY 禁止显示 frame 内的页面（即使是同一网站内的页面）

SAMEORIGIN

允许在 frame 内显示来自同一网站的页面，禁止显示来自其他网站的页面

ALLOW-FROM origin_uri 允许在 frame 内显示来自指定 uri 的页面（当允许显示来自于指定网站的页面时使用）

X-Content-Type-Options

如果从 script 或 stylesheet 读入的文件的 MIME 类型与指定 MIME 类型不匹配，不允许读取该文件。用于防止 XSS 等跨站脚本攻击。

X-Frame-Options: nosniff

X-XSS-Protection

用于启用浏览器的 XSS 过滤功能，以防止 XSS 跨站脚本攻击。

X-XSS-Protection: 1; mode=block

0 禁用 XSS 过滤功能

1 启用 XSS 过滤功能

Content-Security-Policy

用于控制当外部资源不可信赖时不被读取。用于防止 XSS 跨站脚本攻击或数据注入攻击（但是，如果设定不当，则网站中的部分脚本代码有可能失效)。

之前的字段名为 X-Content-Security-Policy

Content-Security-Policy: default-src 'self'

default-src ‘self’：允许读取来自于同源（域名+主机+端口号）的所有内容

default-src ‘self’

*.example.com：允许读取来自于指定域名及其所有子域名的所有内容

X-Permitted-Cross-Domain-Policies

用于指定当不能将”crossdomain.xml”文件（当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件）放置在网站根目录等场合时采取的替代策略。

X-Permitted-Cross-Domain-Policies: master-only

master-only 只允许使用主策略文件（/crossdomain.xml）

Strict-Transport-Security

用于通知浏览器只能使用 HTTPS 协议访问网站。用于将 HTTP 网站重定向到 HTTPS 网站。

Strict-Transport-Security: max-age=31536; includeSubDomains

max-age 用于修改 STS 的默认有效时间。

includeSubDomains 用于指定所有子域名同样使用该策略。

Access-Control-Allow-Origin等CORS相关字段

当使用 XMLHttpRequest 从其他域名中获取资源进行跨域通信时使用。

Access-Control-Allow-Origin:

Access-Control-Allow-Methods: POST, GET, OPTIONS

Access-Control-Allow-Headers: X-TRICORDER

Access-Control-Max-Age: 1728

上述代码用于设定与 进行跨域通信处理，允许使用 POST, GET, OPTIONS *** ，在发送的请求头中添加 X-TRICORDER 字段，通信超时时间为1,728,00秒。

HTTP响应头的设定 ***

在 Apache 服务器中指定响应头时，需要在 httpd.conf 文件中将下述模块设定为有效状态。

LoadModule headers_module modules/mod_headers.so

然后使用下述 *** 设定 HTTP 响应头。

Header set HeaderFieldName "value"

//例如

Header set X-XSS-Protection "1; mode=block”

这个字怎么念？

矜

矜

guān

名

同“鳏”。无妻的老人。也泛指无妻的人 [widower]

少而无父者谓之孤;老而无子者谓之独;老而无妻者谓之矜;老而无夫者谓之寡。——《礼记·王制》

爰及矜人,哀此鳏寡。——《诗·小雅·鸿雁》

不侮矜寡。——《诗·大雅·烝民》

养孤老,食常疾,收矜寡。——《管子·幼官》

有矜在民间,曰虞舜。——《史记·五帝本纪》

善者必先乎矜寡孤独。——《说苑·修文》

又如:矜人(贫苦可怜的人);矜寡(同“鳏寡”)

[动]∶同“瘝”。得病 [illness]

何草不玄,保人不矜。——《诗·小雅》

另见jīn;qín

矜

jīn

〈动〉

自夸;自恃 [self-conceited;self-important;singing one’s own praise]

矜,大也。——《广雅》

不矜而庄。——《礼记·表礼》。注:“谓自尊大也。”

不可以矜而祗取忧也。

矜其伐而耻其功。

矜之者何?犹曰莫我若也。——《公羊传·僖公九年》

不敢矜其善。——《韩非子·说疑》

矜功不立。——《战国策·齐策》

以矜气作之。——唐·柳宗元《柳河东集》

以此自矜。——宋·欧阳修《归田录》

又如:自矜(自恃);矜功(自夸功勋);矜伐(恃功自夸);矜尚(骄尊夸耀,争出人上);矜饰(骄夸虚饰);矜宠(仗恃有宠而骄)

怜悯;同情 [take pity on;sympathize with]

矜,惜也。——《小尔雅》

爰及矜人。——《诗·小雅·鸿雁》

矜此劳人。——《诗·小雅·巷伯》

见人之厄则矜之。——《公羊传·宣公十五年》。注:“闵也。”

哀矜庶戮之不辜。——《书·吕刑》

予惟率肆矜尔。——《书多士》

矜,惜也。——《小尔雅》

爰及矜人。——《诗·小雅·鸿雁》

矜此劳人。——《诗·小雅·巷伯》

见人之厄则矜之。——《公羊传·宣公十五年》。注:“闵也。”

哀矜庶戮之不辜。——《书·吕 刑》

予惟率肆矜尔。——《书多士》

天矜于民。——《书·泰誓》

又如:矜爱(同情怜爱);矜哀(怜悯爱惜);矜念(怜悯思念);矜愍(矜悯。怜悯;怜惜)

注重;崇尚 [lay emphasis on;uphold;advocate]

故人矜节行。——贾谊《陈政事疏》

又如:矜式(尊敬而效法);矜全(爱护成全);矜名(崇尚名声);矜谑(崇尚戏谑)

另见guān;qín

矜

jīn

〈形〉

(形声。从矛,令声。作从今者误。(qín)本义:矛柄)

骄傲 [arrogant;haughty]

虫翘然矜鸣,似报主知。——《聊斋志异》

又如:矜浮(骄矜浮躁);矜大(骄傲自大);矜物(骄傲而瞧不起别人);矜侉(骄傲自大);矜前(炫夸从前的名声);矜负(高傲而自负)

端庄;庄重 [sedate;dignified]

君子矜而不争。——《论语》

古之矜也廉

又如:矜庄(端庄稳重);矜严(庄重威严);矜容(端庄的容态);矜饬(端庄严整);矜厉(庄重严厉);矜肃(庄重严肃)

谨守,慎重 [careful;prudent]

参为人矜严,好修容仪。——《汉书·冯参传》

矜行以事君。——《大戴礼记·小辨》。注:“慎也。伪旅獒,不矜细行。”

又如:矜奋(谨持奋勉);矜峻(谨严);矜裁(拘谨克制);矜炼(谨严而精炼);矜谨(矜持拘谨)

苦,穷困 [hard;poor]

矜其血气,以规法度。——《庄子》。郭庆藩集释:“矜其血气,犹孟子言:苦其心志也。矜者,苦也。”

凶危,危险 [dangerous;ferocious]

曷予靖之,居以凶矜。——《诗·小雅》。毛传:“矜,危也。”郑玄笺:“居我以凶危之地。”

急遽,暴躁乖戾 [rapid;irascible]。 如:矜肆(骄纵放肆);矜纠收缭(暴躁乖戾)

另见 guān;qín

矜持

jīnchí

[restrained]∶局促;拘束

这个小姑娘在众人面前有点矜持

[arrogant]∶自鸣得意;自负

家世殷厚,雅自矜持

[hold]∶恪守;坚持正道

矜持道义

矜贵

jīnguì

[conceited]∶以地位高贵而倨傲自大

恃才矜贵

[noble]∶高贵

出身高贵

矜矜

jīnjīn

[cautious]∶谨慎小心的样子

矜矜业业,唯恐有违

∶坚强的样子

矜矜业业

jīnjīn-yèyè

[cautious] 认真踏实,一丝不苟

是以古先哲王,畏上天之明命,循阴阳之逆顺,矜矜业业,惟恐有违。——《三国志·高堂隆传》

矜惜

jīnxī

[take pity on] 怜惜;珍惜

矜惜名节

矜诩

jīnxǔ

[be conceited and boastful] 夸耀。

若自矜诩。——清·方苞《狱中杂记》

矜疑

jīnyí

[case deserves sympathy but crime is suspicious] 旧司法术语,意为其情可怜,其罪可疑

秋审入矜疑。——清·方苞《狱中杂记》

以矜疑减等。

矜重

jīnzhòng

[dignified] 矜庄;自重

过于矜重

矜

qín

名

(形声。从矛,今声。本义:矛柄) 同本义 [the handle of lance]

徂耰棘矜。——汉·贾谊《新书·过秦论上》

矛,其柄谓之矜。——《方言》

另见guān;jīn

矜

jīn

ㄐㄧㄣˉ

怜悯，怜惜：～悯（怜悯）。～惜。～恤。

自尊，自大，自夸：～夸。～伐。～恃。骄～。

庄重，拘谨：～持。～重（zh恘g ）。

郑码：XSSX，U：77DC，GBK：F1E6

笔画数：9，部首：矛，笔顺编号：545233445

矜

qín

ㄑㄧㄣˊ

矛柄。

郑码：XSSX，U：77DC，GBK：F1E6

笔画数：9，部首：矛，笔顺编号：545233445

矜

guān

ㄍㄨㄢˉ

古同“鳏”。

郑码：XSSX，U：77DC，GBK：F1E6

笔画数：9，部首：矛，笔顺编号：545233445