好程序員web前端分享HTML5中的nav標簽�����,nav標簽全稱navigation�����,顧名思義���,是導航的意思。根據HTML5的相關標準定義如下: "A section of a page that links to other pages or to parts within the page:
a section with navigation links." 中文翻譯大概意思是”頁面中的一個用來鏈接到其它頁面或者當前頁面的區域:一個含有導航鏈接的區域”�����。 這里非常清楚的定義了nav標簽的功能�����,這里和header類似并沒有指定必須是主導航���,也可以是頁面其它部分的子導航�����。如下:
1.<h3>gbin1.com文章列表</h3>
2.<nav>
3. <ul>
4. <li><a href="#html5">HTML5文章介紹</a></li>
5. <li><a href="#css3">CSS3文章介紹</a></li>
6. <li><a href="#jquery">jQuery文章介紹</a></li>
7. <ul>
8.</nav>
在上面這個例子中,我們看到這里只是一個區域的文章導航���,同樣也可以使用nav定義一個小型的頁面內導航。 但并不是頁面上的所有鏈接團體都需要放在nav標簽內���,它主要是由頁面的主要導航塊組成。例如���,我們通常在網站的頁腳里放一組鏈接,包括服務條款���、網站介紹、版權聲明等���,這時,我們通常使用footer���,而不是nav���。
一個頁面可可以包含多個nav標簽,作為頁面整體或者不同部分的導航���。在下面的例子中,有兩個nav標簽��,一個是網站的主體導航�����,另外一個是當前頁面本身的輔助鏈接導航���。
1.<h1>雨打浮萍</h1>
2.<nav>
3. <ul>
4. <li><a href="/">首頁</a></li>
5. <li><a href="#">html+css</a></li>
6. ...more...
7. </ul>
8.</nav>
9.<article>
10. <header>
11. <h1>html5語義化標簽之結構標簽</h1>
12. <p><span>發表于</span>2011-12-22</p>
13. </header>
14. <nav>
15. <ul>
16. <li><a href="#">子導航</a></li>
17. <li><a href="#">子導航</a></li>
18. ...more...
19. </ul>
20. </nav>
21. <div>
22. <section id="public">
23. <h1>section里面仍然可以再用h1標簽</h1>
24. <p>...more...</p>
25. </section>
26. <section id="destroy">
27. <h1>section里面仍然可以再用h1標簽</h1>
28. <p>...more...</p>
29. </section>
30. ...more... </div>
31. <footer>
32. <p><a href="#">關于我們</a> |
33. <a href="#">友情鏈接</a> |
34. <a href="#">雜七雜八</a></p>
35. </footer>
36.</article>
37.<footer>
38. <p><small>? copyright 2011 </small></p>
</footer>
nav標簽本身并不要求包含一個列表�����,它還可以包含其它內容形式。
1.<nav>
2. <h1>Navigation</h1>
3. <p>You are on my home page. To the north lies
4. <a href="/blog">my blog</a>, from whence the sounds of battle can be heard. To the east you can see a large mountain,
5. upon which many
6. <a href="/school">school papers</a>are littered. Far up thus mountain you can spy a little figure who appears to
7. be me, desperately scribbling a
8. <a href="/school/thesis">thesis</a>.</p>
9. <p>To the west are several exits. One fun-looking exit is labeled
10. <a </a>. Another more boring-looking exit is labeled
11. <a >ISP?</a>.</p>
12. <p>To the south lies a dark and dank
13. <a href="/about">contacts page</a>. Cobwebs cover its disused entrance, and at one point you see a rat run quickly
14. out of the page.</p>
15.</nav>
源 | https://www.jianshu.com/p/c0785651be6e
近期�����,來自Imperva Vitaly Simonovich和Dima Bekerman的安全研究專家發現了一種基于HTML5超鏈接審計功能(Ping標簽)的大規模DDoS攻擊���。
新型DDoS攻擊技術
在此次攻擊活動中��,DDoS攻擊請求峰值達到了7500次請求/秒��,在大概4個小時內攻擊者總共利用了4000多個不同的用戶向攻擊目標發送了超過7000萬次惡意請求。
Imperva的研究人員在其發布的安全分析報告中指出:“我們對此次DDoS攻擊進行了深入分析�����,并且發現攻擊活動中涉及到的攻擊流量大多數來自于亞洲地區���。
而且��,攻擊者主要使用的是常用的HTML5屬性,即<a>標簽中的ping屬性���,并以此欺騙用戶讓他們在毫不知情的情況下參與到攻擊者的DDoS攻擊活動中來。整個攻擊活動持續了大約4個小時�����,并成功向攻擊目標發送了大約7000萬次惡意請求�����?����!?/p>
研究人員還表示,在此次攻擊活動中,攻擊者并沒有利用任何安全漏洞���,而是將合法的HTML5功能轉換為了他們的攻擊工具。值得一提的是,幾乎所有“參與“到此次攻擊中的用戶都是QQ瀏覽器的用戶���,而這款瀏覽器的用戶幾乎全部都是我們自己人。
通過對日志進行分析后,專家們發現所有的惡意請求中都包含“Ping-From”和“Ping-To”這兩個HTTP頭���,這也是迄今為止第一次發現攻擊者使用<a>標簽的Ping屬性來實施DDoS攻擊。
Ping屬性
在攻擊活動中,“Ping-From”和“Ping-To”的值都引用了“ http://booc[.]gz[.]bcebos[.]com/you[.]html”這個URL地址���。
而且,請求中的User-Agent都跟我們每天都會用到的一款聊天App-微信有關。
專家認為,攻擊者利用了社工技術以及惡意廣告來欺騙微信用戶打開默認瀏覽器���,下面是安全專家描述的攻擊場景:
1、 攻擊者搭建釣魚網站��,并注入惡意廣告�����。
2、 在iframe中注入廣告并關聯合法網站�����,然后將其發送到微信群。
3、 合法用戶訪問該網站后��,惡意JavaScript代碼將會執行�����,并針對用戶點擊的鏈接創建”Ping”屬性���。
4���、 創建后將生成一個HTTP Ping請求��,并通過合法用戶的瀏覽器發送給目標域名。
專家還表示,除了QQ瀏覽器之外���,還有很多瀏覽器都會受到這種新型DDoS攻擊技術的影響。不過好消息就是,Firefox默認禁用了Ping屬性��。
簡單分析
攻擊者在搭建惡意網站時���,使用了兩個外部JavaScript文件�����,其中一個包含了DDoS攻擊目標的URL地址數組���,另一個JS文件主要用來從地址數組中隨機選取一個URL地址��,并創建帶有Ping屬性的<a>標簽�����,然后通過代碼實現每秒訪問一次目標地址�����。
用戶只要不停瀏覽或停留在這個網頁上,他們的設備就會不斷向目標站點發送Ping請求��。研究人員表示��,如果這個網站有4000個用戶訪問的話��,每個小時大約可以生成1400萬次惡意請求。
應對方案
如果你的Web服務器不希望或不需要接收來自于外部的Ping請求���,你可以在邊緣設備(防火墻或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”這兩個HTTP頭的任何Web請求,這樣就可以抵御這種攻擊了���。
嚴正聲明:本文僅限于技術討論與教育目的,嚴禁用于非法途徑���。
