用CSS客户跟踪和反跟踪的编号形式。

css禁止点击事件的方法(css鼠标禁用样式)插图

去年,一位开发者建立了一个网站来跟踪和记录客户信息,包括点击、笔记本电脑鼠标移动、浏览器类型和计算机系统。Web每个人都使用应用程序进行客户跟踪,但这个网站的形式有点“中低档”,让大多数人的心颤抖,因为他的方法没有使用动态语言,甚至没有JavaScript,只有纯HTML和一行CSS。这放弃了一直以来的感觉CSS只有用数据格式解释的思维逻辑。Bug今天就给大家讲解一下它的方法,并复制一种防止跟踪的形式。

跟踪基本概念

采用这种方法CSS具体内容可导入两个特点:HTML元素(操DOM),并且可以在用户实现操作过程后改变样式(呈现网站页面)。网站基础在实施操作过程中使用content特点设置URL来工作上。URL开启一个PHP辅助生产,辅助生产记录将被视为URL数据传输操作过程的详细信息。CSS选择符::before和::after设置此URL它只能在实施过程中使用URL,第一次不要加载网站页面。

例如,下列CSS每次点击#link当元素打开时,URL:

css禁止点击事件的方法(css鼠标禁用样式)插图1

跟踪辅助生产包括记录事件的持续时间,然后编号操作过程。它也可以用来准确地获得客户IP地址、客户区域代理等身份信息。

下面是一个辅助生产PHP案例:

css禁止点击事件的方法(css鼠标禁用样式)插图2

浏览器检验

在这些跟踪模式下,客户可以设置浏览器的用户区域代理来欺骗网站服务器,但是,@supportsat-rule用于检查浏览器的特征CSS避免它的特点。例如,以下操作过程基于检测-webkit-appearance能用和-ms-ime-align不能用来检测它是否Chrome浏览器:

css禁止点击事件的方法(css鼠标禁用样式)插图3

计算机系统检测

为了便于客户计算机系统的适当检查,在此跟踪中使用字体样式进行检查。例如,检查浏览器是否可用Calibri字体样式产品系列,可以区分浏览器是否在Windows中运行:

css禁止点击事件的方法(css鼠标禁用样式)插图4

除了上面提到的一些英文字母外,还有一个案例网站页面可以识别其他信息数据,包括浏览器提示框的大小和方向,客户是否点击连接,以及客户在元素时间悬停鼠标。

css禁止点击事件的方法(css鼠标禁用样式)插图5

下面是跟踪昆虫操作过程后信息的说明网站页面:

css禁止点击事件的方法(css鼠标禁用样式)插图6

逆追踪法

这种攻击在页面上是不可避免的。信息盗窃可以根据跨网站引入安全漏洞,这是完全不可能的。如果你想防止这种攻击,你必须禁止它CSS,但是这个网站会死的。虽然攻击不能完全消除,但我们可以使用具体的内容安全策略(CSP)提高他的应用难度。

CSP是一组确定浏览器能做什么和不能做什么的标准。CSP一般用于防止跨浏览器加载导致的跨网站辅助(XSS)与其他攻击。虽然一般和JavaScript文档一起使用,但是CSP也可以应用CSScss页面布局。

让我们假设css页面布局网站由第三方服务提供商管理,黑客攻击威胁严重css页面布局,并将客户跟踪添加到电脑浏览器中,具体如下:

css禁止点击事件的方法(css鼠标禁用样式)插图7

如果客户单击连接,他们的浏览器将跟踪其他平台的辅助生产。由于这种情况是基于浏览器,网站用户根本不知道安全漏洞。具体的内容安全策略可以根据允许的风格和源网站来避免从非法连接打开。

禁用置入式。

禁用置入式是CSP比较大的安全系数优势之一。内联风格是随时随地的HTML表中的声明样式(也可以基于JavaScript设置样式),而不是从css页面布局中包含的样式。内联风格,尤其是那些动态转换成风格或用户创建风格的风格,无法调整和维护。CSP一般会阻止所有的内联风格,并将这些特别是在允许的内容纳入权限管理。

以下规范防止所有内联样式和外部托管css页面布局:

Content-Security-Policy”style-src’self’;”

应用hach用随机数字验证样式。

如果内联风格不能禁止,大伙儿还是可以应用的hach保证和随机数字CSS的一致性。

如在css在页面布局或内联样式上实现散列函数时,除非您改变样式,否则应始终返回相同的结果。这是针对一些内联样式和css在权限管理中包含页面布局是非常合理的,它还可以验证样式是否没有修改或伪造。

css禁止点击事件的方法(css鼠标禁用样式)插图8

Nonces使用类似散列的涵数。然而,随机数是为了更好地将每个规则转换成新的随机数,这使得黑客很难猜测其价值。这避免了hach具体缺点:很多输入很可能转换成相同的hach。

css禁止点击事件的方法(css鼠标禁用样式)插图9

验证外部css页面布局。

css页面布局通常托管在第三方网站服务器上,例如CDN,这将导致新的攻击安全通道。CDN入侵,如何避免攻击假冒托管?CSS?

回答SRI,这种情况可以用来解决。

SRI应用hach对辅助制作和css页面布局内容。计算每个文本文档的内容hach,并附上它HTML元素的一致性特征。当网页下载辅助制作或或css当页面布局时,他会计算它hash值,并将其与保存在特征中的值进行比较。如果匹配,将加载辅助生产或样式。

css禁止点击事件的方法(css鼠标禁用样式)插图10

虽然依据CSS跟踪客户的业务能力并不是什么新鲜事,但这确实需要大家对互联网上的私人信息和安全系数进行不同的思考。CSS它是大多数现代大数据的语言表达能力之一。禁用网站CSS老板会让大多数网站无法使用。具体内容-安全系数-预防措施是防止XSS攻击和CSS良好的泄露形式。bug,浏览许多专业原创文章的具体内容。

发表评论

后才能评论