免責(zé)聲明 本教程僅為合法的教學(xué)目的而準(zhǔn)備，嚴(yán)禁用于任何形式的違法犯罪活動(dòng)及其他商業(yè)行為，在使用本教程前，您應(yīng)確保該行為符合當(dāng)?shù)氐姆煞ㄒ?guī)，繼續(xù)閱讀即表示您需自行承擔(dān)所有操作的后果，如有異議，請(qǐng)立即停止本文章閱讀。?????

?????

目錄

一、靜態(tài)頁(yè)面的定義

1、靜態(tài)頁(yè)面的特點(diǎn)

2、靜態(tài)頁(yè)面中的動(dòng)態(tài)效果

?二、靜態(tài)頁(yè)面安全性考慮

1. 內(nèi)容管理

2. 數(shù)據(jù)保護(hù)

3. 網(wǎng)絡(luò)傳輸

4. 用戶(hù)輸入

5. 服務(wù)器配置

三、偽靜態(tài)

1、偽靜態(tài)的生成方式

2、偽靜態(tài)的作用

3、偽靜態(tài)對(duì)SEO的影響

4、偽靜態(tài)的優(yōu)缺點(diǎn)

四、偽靜態(tài)與動(dòng)靜態(tài)網(wǎng)站對(duì)比

1、靜態(tài)網(wǎng)站

2、動(dòng)態(tài)網(wǎng)站

五、如何確認(rèn)一個(gè)網(wǎng)站是否是偽靜態(tài)

1. 查看URL結(jié)構(gòu)

2. 檢查頁(yè)面內(nèi)容

3. 查看頁(yè)面源代碼

4. 使用在線(xiàn)工具

5. 查看服務(wù)器響應(yīng)頭

6. 分析網(wǎng)站的更新頻率

舉例！！

六、什么是純靜態(tài)頁(yè)面？

七、純靜態(tài)頁(yè)面和靜態(tài)頁(yè)面有什么區(qū)別

八、純靜態(tài)頁(yè)面的漏洞點(diǎn)

---

一、靜態(tài)頁(yè)面的定義

靜態(tài)頁(yè)面，即靜態(tài)網(wǎng)頁(yè)，是實(shí)際存在的，無(wú)需經(jīng)過(guò)服務(wù)器的編譯，直接加載到客戶(hù)瀏覽器上顯示出來(lái)的頁(yè)面。它是標(biāo)準(zhǔn)的HTML文件，文件擴(kuò)展名通常為.htm、.html、.shtml等，可以包含文本、圖像、聲音、FLASH動(dòng)畫(huà)、客戶(hù)端腳本和ActiveX控件及JAVA小程序等內(nèi)容。

1、靜態(tài)頁(yè)面的特點(diǎn)

• 內(nèi)容穩(wěn)定性
  • 每個(gè)靜態(tài)網(wǎng)頁(yè)的內(nèi)容一經(jīng)發(fā)布到網(wǎng)站服務(wù)器上，無(wú)論是否有用戶(hù)訪(fǎng)問(wèn)，其內(nèi)容都是保存在服務(wù)器上的，相對(duì)穩(wěn)定。這一特性使得靜態(tài)頁(yè)面容易被搜索引擎檢索，就像對(duì)常住人口進(jìn)行管理一樣，比較容易獲取信息。
• 資源占用與更新管理
  • 靜態(tài)頁(yè)面需要占一定的服務(wù)器空間，且不能自主管理發(fā)布更新的頁(yè)面。如果想要更新網(wǎng)頁(yè)內(nèi)容，要通過(guò)FTP軟件把文件下載下來(lái)，再用網(wǎng)頁(yè)制作軟件修改（通過(guò)fso等技術(shù)例外）1。
  • 在沒(méi)有數(shù)據(jù)庫(kù)支持的情況下，網(wǎng)站制作和維護(hù)方面工作量較大，所以當(dāng)信息量很大時(shí)完全依靠靜態(tài)網(wǎng)頁(yè)制作方式比較困難2。
• 功能交互性
  • 靜態(tài)網(wǎng)頁(yè)是不含程序和不可交互的網(wǎng)頁(yè)（相對(duì)于動(dòng)態(tài)網(wǎng)頁(yè)而言），交互性較差，在功能方面有較大的限制3。
• 頁(yè)面關(guān)系
  • 靜態(tài)頁(yè)面是一對(duì)一的關(guān)系，一個(gè)頁(yè)面對(duì)應(yīng)一個(gè)內(nèi)容，而動(dòng)態(tài)頁(yè)面是一對(duì)多的關(guān)系，可以根據(jù)若干參數(shù)返回不同的數(shù)據(jù)1。

2、靜態(tài)頁(yè)面中的動(dòng)態(tài)效果

雖然靜態(tài)頁(yè)面相對(duì)穩(wěn)定，但也可以出現(xiàn)各種動(dòng)態(tài)的效果，如GIF格式的動(dòng)畫(huà)、FLASH、滾動(dòng)字幕等，容易被誤解為只有.htm這類(lèi)頁(yè)面才是靜態(tài)頁(yè)面，實(shí)際上并非完全靜態(tài)。

?二、靜態(tài)頁(yè)面安全性考慮

靜態(tài)頁(yè)面由于其內(nèi)容固定，不涉及服務(wù)器端的動(dòng)態(tài)執(zhí)行，因此在某些方面比動(dòng)態(tài)頁(yè)面更為安全。然而，這并不意味著靜態(tài)頁(yè)面完全沒(méi)有安全問(wèn)題。以下是一些關(guān)于靜態(tài)頁(yè)面安全性的考慮：

1. 內(nèi)容管理

• 文件上傳：如果允許用戶(hù)上傳文件到服務(wù)器，那么必須小心處理上傳的文件，以防止惡意文件被上傳并執(zhí)行。這涉及到對(duì)文件類(lèi)型、大小和內(nèi)容的嚴(yán)格檢查。
• 文件權(quán)限：確保服務(wù)器上的文件權(quán)限設(shè)置得當(dāng)，防止未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)或修改靜態(tài)頁(yè)面。

2. 數(shù)據(jù)保護(hù)

• 敏感信息：靜態(tài)頁(yè)面不應(yīng)包含任何敏感信息，如密碼、信用卡號(hào)等。這些信息一旦被包含在靜態(tài)頁(yè)面中，就可能被任何人訪(fǎng)問(wèn)。
• 緩存和日志：服務(wù)器的緩存和日志文件可能會(huì)記錄靜態(tài)頁(yè)面的內(nèi)容，因此需要確保這些文件的安全性，防止敏感信息泄露。

3. 網(wǎng)絡(luò)傳輸

• HTTPS加密：使用HTTPS協(xié)議來(lái)加密數(shù)據(jù)傳輸，防止中間人攻擊和數(shù)據(jù)竊聽(tīng)。這不僅可以提高網(wǎng)站的安全性，還可以提升用戶(hù)對(duì)網(wǎng)站的信任度。
• 內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）：使用CDN可以提高靜態(tài)頁(yè)面的加載速度，同時(shí)也可以增加一層安全保護(hù)，防止DDoS攻擊。

4. 用戶(hù)輸入

• 跨站腳本（XSS）：雖然靜態(tài)頁(yè)面本身不涉及用戶(hù)輸入，但如果頁(yè)面中包含了用戶(hù)提供的內(nèi)容（例如評(píng)論、論壇帖子等），則需要小心防止XSS攻擊?？梢酝ㄟ^(guò)轉(zhuǎn)義特殊字符、使用安全的模板引擎等方式來(lái)防止XSS攻擊。
• URL參數(shù)：如果靜態(tài)頁(yè)面通過(guò)URL參數(shù)傳遞信息，則需要小心防止參數(shù)注入攻擊?？梢酝ㄟ^(guò)驗(yàn)證和清理URL參數(shù)來(lái)防止這種攻擊。

5. 服務(wù)器配置

• 服務(wù)器軟件：確保服務(wù)器軟件（如Apache、Nginx等）是最新版本，并且已經(jīng)打上了所有的安全補(bǔ)丁。
• 錯(cuò)誤頁(yè)面：配置自定義的錯(cuò)誤頁(yè)面，以防止默認(rèn)的錯(cuò)誤頁(yè)面泄露服務(wù)器信息。

三、偽靜態(tài)

偽靜態(tài)是一種將動(dòng)態(tài)網(wǎng)頁(yè)通過(guò)重寫(xiě)URL的方法實(shí)現(xiàn)去掉動(dòng)態(tài)網(wǎng)頁(yè)的參數(shù)，但在實(shí)際的網(wǎng)頁(yè)目錄中并沒(méi)有必要實(shí)現(xiàn)存在重寫(xiě)的頁(yè)面的技術(shù)。它在SEO優(yōu)化中具有重要作用，可以幫助搜索引擎更好地抓取網(wǎng)頁(yè)內(nèi)容，提高網(wǎng)頁(yè)的收錄率和排名。

1、偽靜態(tài)的生成方式

偽靜態(tài)可以通過(guò)以下兩種主要方式生成：

1. 框架型偽靜態(tài)：這種方式非常簡(jiǎn)單且易于識(shí)別。它的原理是創(chuàng)建一個(gè)靜態(tài)的主框架頁(yè)面，然后將動(dòng)態(tài)內(nèi)容嵌入副框架內(nèi)。從URL上看，如果整個(gè)網(wǎng)站的URL都是一樣的，那么就一定是框架偽靜態(tài)的。

2. 利用組件顯示為靜態(tài)：這種方法的原理較為復(fù)雜，它主要是利用一個(gè)組件強(qiáng)制性地將asp、aspx、PHP等文件的后綴顯示為htm或html。對(duì)于用戶(hù)來(lái)說(shuō)，很難分辨出這些頁(yè)面實(shí)際上是動(dòng)態(tài)的，因?yàn)轱@示的鏈接確實(shí)是以.htm或.html結(jié)尾的。

2、偽靜態(tài)的作用

偽靜態(tài)的主要作用包括：

1. 迎合搜索引擎：靜態(tài)化的網(wǎng)頁(yè)更容易被搜索引擎收錄，從而提高網(wǎng)頁(yè)的可見(jiàn)性和排名。

2. 提高用戶(hù)信任度：靜態(tài)頁(yè)面的URL通常比動(dòng)態(tài)頁(yè)面的URL更簡(jiǎn)潔和友好，這有助于提高用戶(hù)對(duì)網(wǎng)頁(yè)的信任度。

3、偽靜態(tài)對(duì)SEO的影響

在SEO優(yōu)化中，偽靜態(tài)可以幫助提高網(wǎng)頁(yè)的收錄率和排名。例如，new_1234.html 比new.aspid=1234 更容易被搜索引擎收錄。對(duì)于有獨(dú)立服務(wù)器的用戶(hù)，可以使用ISAPI_Rewrite的方式來(lái)寫(xiě)偽靜態(tài)規(guī)則；而對(duì)于只有虛擬空間的用戶(hù)，則可能需要使用一些ASP生成HTML的系統(tǒng)來(lái)幫助實(shí)現(xiàn)偽靜態(tài)。

4、偽靜態(tài)的優(yōu)缺點(diǎn)

偽靜態(tài)的優(yōu)點(diǎn)包括：

• 對(duì)搜索引擎友好，容易被收錄。
• 提高用戶(hù)對(duì)網(wǎng)頁(yè)的信任度。

然而，偽靜態(tài)也有一些缺點(diǎn)：

• 可能會(huì)導(dǎo)致網(wǎng)頁(yè)打開(kāi)速度變慢，因?yàn)閭戊o態(tài)仍然需要讀取數(shù)據(jù)庫(kù)，并且多了一個(gè)重寫(xiě)網(wǎng)址的過(guò)程。
• 可能會(huì)造成大量的重復(fù)頁(yè)面，因?yàn)樽隽藗戊o態(tài)后，原有的動(dòng)態(tài)頁(yè)面仍然可以訪(fǎng)問(wèn)。
• 需要服務(wù)器支持，這可能會(huì)增加成本。

四、偽靜態(tài)與動(dòng)靜態(tài)網(wǎng)站對(duì)比

在網(wǎng)站開(kāi)發(fā)和SEO優(yōu)化中，偽靜態(tài)、靜態(tài)和動(dòng)態(tài)網(wǎng)站各有其特點(diǎn)和應(yīng)用場(chǎng)景。以下是對(duì)偽靜態(tài)與靜態(tài)、動(dòng)態(tài)網(wǎng)站的對(duì)比分析：

1、靜態(tài)網(wǎng)站

特點(diǎn)

• 真實(shí)存在：每個(gè)網(wǎng)頁(yè)都有真實(shí)的物理路徑，即每個(gè)頁(yè)面都是一個(gè)獨(dú)立的HTML文件。

• 加載速度快：因?yàn)椴恍枰M(jìn)行任何運(yùn)算，服務(wù)器可以直接提供頁(yè)面內(nèi)容。

• 利于SEO：靜態(tài)URL結(jié)構(gòu)簡(jiǎn)單，易于記憶，且搜索引擎對(duì)靜態(tài)頁(yè)面的抓取效率較高。

優(yōu)缺點(diǎn)

• 優(yōu)點(diǎn)：

  • 網(wǎng)站打開(kāi)速度快。

  • URL結(jié)構(gòu)友好，利于記憶和SEO。

• 缺點(diǎn)：

  • 中大型網(wǎng)站會(huì)產(chǎn)生大量頁(yè)面，難以管理。

  • 更新和維護(hù)相對(duì)繁瑣。

2、動(dòng)態(tài)網(wǎng)站

特點(diǎn)

• 邏輯地址：URL只是一個(gè)邏輯地址，頁(yè)面內(nèi)容是根據(jù)用戶(hù)請(qǐng)求動(dòng)態(tài)生成的。

• 靈活性高：可以輕松更新和管理內(nèi)容，適合中大型網(wǎng)站。

優(yōu)缺點(diǎn)

• 優(yōu)點(diǎn)：

  • 適合中大型網(wǎng)站，內(nèi)容更新方便。

  • 占用硬盤(pán)空間較小。

• 缺點(diǎn)：

  • 頁(yè)面加載速度相對(duì)較慢。

  • URL結(jié)構(gòu)復(fù)雜，不利于記憶和SEO。

偽靜態(tài)網(wǎng)站

特點(diǎn)

• 動(dòng)態(tài)生成靜態(tài)頁(yè)面：通過(guò)URL重寫(xiě)技術(shù)，將動(dòng)態(tài)頁(yè)面?zhèn)窝b成靜態(tài)頁(yè)面。

• 兼具靜態(tài)和動(dòng)態(tài)的優(yōu)點(diǎn)：既能提高頁(yè)面加載速度，又能保持內(nèi)容的動(dòng)態(tài)更新。

優(yōu)缺點(diǎn)

• 優(yōu)點(diǎn)：

  • 對(duì)SEO友好，容易被搜索引擎收錄。

  • 提高用戶(hù)對(duì)網(wǎng)頁(yè)的信任度。

• 缺點(diǎn)：

  • 可能導(dǎo)致頁(yè)面加載速度變慢。

  • 可能會(huì)造成重復(fù)頁(yè)面，影響SEO效果。

對(duì)比總結(jié)

特性	靜態(tài)網(wǎng)站	動(dòng)態(tài)網(wǎng)站	偽靜態(tài)網(wǎng)站
頁(yè)面存在形式	真實(shí)存在的HTML文件	邏輯地址，動(dòng)態(tài)生成	動(dòng)態(tài)生成，偽裝成靜態(tài)頁(yè)面
加載速度	快	較慢	較快，但可能受服務(wù)器負(fù)擔(dān)影響
SEO友好度	高	中等	高
管理和維護(hù)	復(fù)雜，需手動(dòng)更新	簡(jiǎn)單，內(nèi)容更新方便	簡(jiǎn)單，內(nèi)容更新方便
適用場(chǎng)景	小型網(wǎng)站，內(nèi)容較少更新	中大型網(wǎng)站，內(nèi)容頻繁更新	中小型網(wǎng)站，需兼顧SEO和內(nèi)容更新

五、如何確認(rèn)一個(gè)網(wǎng)站是否是偽靜態(tài)

1. 查看URL結(jié)構(gòu)

偽靜態(tài)網(wǎng)站的URL通?？雌饋?lái)像靜態(tài)頁(yè)面的URL，但實(shí)際上是通過(guò)服務(wù)器端腳本生成的。你可以觀(guān)察網(wǎng)站的URL是否包含動(dòng)態(tài)參數(shù)（如“?”、“=”等），這些參數(shù)通常是動(dòng)態(tài)生成的。

2. 檢查頁(yè)面內(nèi)容

偽靜態(tài)網(wǎng)站的內(nèi)容是動(dòng)態(tài)生成的，但看起來(lái)像是靜態(tài)頁(yè)面。你可以嘗試刷新頁(yè)面，看看內(nèi)容是否發(fā)生變化。如果內(nèi)容不變，且URL看起來(lái)像是靜態(tài)的，那么這個(gè)網(wǎng)站很可能是偽靜態(tài)的。

3. 查看頁(yè)面源代碼

你可以右鍵點(diǎn)擊頁(yè)面，選擇“查看源代碼”或“檢查元素”，看看頁(yè)面的源代碼是否包含動(dòng)態(tài)生成的標(biāo)記。如果源代碼中包含大量的動(dòng)態(tài)腳本或數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)句，那么這個(gè)網(wǎng)站很可能是偽靜態(tài)的。

4. 使用在線(xiàn)工具

有一些在線(xiàn)工具可以幫助你檢測(cè)一個(gè)網(wǎng)站是否是偽靜態(tài)。你可以在搜索引擎中搜索“偽靜態(tài)檢測(cè)工具”，然后輸入你要檢測(cè)的網(wǎng)站URL，工具會(huì)自動(dòng)分析并給出結(jié)果。

5. 查看服務(wù)器響應(yīng)頭

你可以使用瀏覽器的開(kāi)發(fā)者工具（通常按F12打開(kāi)）查看服務(wù)器的響應(yīng)頭。如果響應(yīng)頭中包含“X-Powered-By”等信息，且顯示的是動(dòng)態(tài)腳本語(yǔ)言（如PHP、ASP等），那么這個(gè)網(wǎng)站很可能是偽靜態(tài)的。

6. 分析網(wǎng)站的更新頻率

偽靜態(tài)網(wǎng)站通常會(huì)定期更新緩存文件，以確保內(nèi)容的時(shí)效性。你可以觀(guān)察網(wǎng)站的內(nèi)容更新頻率，如果更新頻繁且URL不變，那么這個(gè)網(wǎng)站很可能是偽靜態(tài)的。

舉例！！

在滲透測(cè)試的時(shí)候我們得判斷腳本語(yǔ)言，非靜態(tài)網(wǎng)站的后綴名為腳本語(yǔ)言的后綴，如php、asp、jsp、aspx、py；靜態(tài)網(wǎng)站的后綴，如html、htm、shtml等。

我們拿CSDN來(lái)做例子。

原理： 查看到的時(shí)間為當(dāng)前時(shí)間的話(huà)， 那么它很有可能是偽靜態(tài)的， 如果看到的日期是以前的，那么它很可能就是靜態(tài)頁(yè)面了。

◆ Chrome瀏覽器

????? 先用Chrome瀏覽器打開(kāi)一個(gè)網(wǎng)頁(yè)如：http://www.xxx.com/?，等網(wǎng)頁(yè)完全打開(kāi)后進(jìn)入瀏覽器的控制臺(tái)，方法："開(kāi)發(fā)者工具"-“錯(cuò)誤控制臺(tái)”，快捷鍵：shift+ctrl+J? ，然后在控制臺(tái)里面輸入：alert(document.lastModified);?，按回車(chē)鍵后查看最后修改時(shí)間并記錄。

錯(cuò)誤控制臺(tái)

Chrome查看網(wǎng)頁(yè)最后修改時(shí)間

????? 多次刷新網(wǎng)頁(yè)，用同樣的方法，比較彈窗的時(shí)間，如果都是一樣的，那就是真實(shí)的靜態(tài)網(wǎng)頁(yè)，否則就是偽靜態(tài)（動(dòng)態(tài)網(wǎng)頁(yè)）。

六、什么是純靜態(tài)頁(yè)面？

純靜態(tài)頁(yè)面是指完全由HTML、CSS和JavaScript等靜態(tài)資源組成的網(wǎng)頁(yè)，這些資源在服務(wù)器上以文件形式存在，不需要服務(wù)器端動(dòng)態(tài)生成內(nèi)容。用戶(hù)請(qǐng)求頁(yè)面時(shí)，服務(wù)器直接將這些靜態(tài)文件發(fā)送給客戶(hù)端瀏覽器進(jìn)行渲染。

純靜態(tài)頁(yè)面的特點(diǎn)

1. 快速加載：由于頁(yè)面內(nèi)容是預(yù)先生成的靜態(tài)文件，服務(wù)器可以直接發(fā)送給客戶(hù)端，減少了服務(wù)器處理時(shí)間，提高了頁(yè)面加載速度。

2. 易于緩存：靜態(tài)頁(yè)面可以被瀏覽器緩存，用戶(hù)再次訪(fǎng)問(wèn)時(shí)可以直接從緩存中讀取，減少了服務(wù)器請(qǐng)求次數(shù)。

3. 安全性高：靜態(tài)頁(yè)面不涉及服務(wù)器端邏輯處理，減少了被攻擊的風(fēng)險(xiǎn)。

4. 部署簡(jiǎn)單：靜態(tài)頁(yè)面只需要將文件上傳到服務(wù)器即可，不需要復(fù)雜的配置和部署過(guò)程。

純靜態(tài)頁(yè)面的應(yīng)用場(chǎng)景

1. 內(nèi)容展示型網(wǎng)站：如企業(yè)官網(wǎng)、個(gè)人博客、產(chǎn)品展示頁(yè)面等，這些網(wǎng)站的內(nèi)容相對(duì)固定，適合使用純靜態(tài)頁(yè)面。

2. 靜態(tài)博客：使用靜態(tài)博客生成器（如Jekyll、Hugo）生成的博客網(wǎng)站，內(nèi)容以靜態(tài)頁(yè)面的形式存在。

3. 單頁(yè)應(yīng)用（SPA）：雖然單頁(yè)應(yīng)用通常使用JavaScript動(dòng)態(tài)加載內(nèi)容，但其初始頁(yè)面和資源文件可以是靜態(tài)的。

純靜態(tài)頁(yè)面的局限性

1. 內(nèi)容更新不便：每次更新內(nèi)容都需要手動(dòng)修改HTML文件，不適合頻繁更新的網(wǎng)站。

2. 缺乏動(dòng)態(tài)功能：無(wú)法實(shí)現(xiàn)服務(wù)器端動(dòng)態(tài)生成的內(nèi)容，如用戶(hù)登錄、數(shù)據(jù)庫(kù)查詢(xún)等。

3. SEO優(yōu)化受限：搜索引擎可能無(wú)法很好地抓取動(dòng)態(tài)生成的內(nèi)容，影響SEO效果。

如何生成純靜態(tài)頁(yè)面

1. 手動(dòng)編寫(xiě)：直接使用HTML、CSS和JavaScript編寫(xiě)頁(yè)面。

2. 靜態(tài)站點(diǎn)生成器：使用工具如Jekyll、Hugo、Gatsby等，將Markdown或其他格式的內(nèi)容轉(zhuǎn)換為靜態(tài)HTML頁(yè)面。

3. 前端框架：使用Vue.js 、React等前端框架構(gòu)建單頁(yè)應(yīng)用，并通過(guò)構(gòu)建工具（如Webpack）生成靜態(tài)文件。

純靜態(tài)頁(yè)面的未來(lái)趨勢(shì)

隨著前端技術(shù)的發(fā)展，純靜態(tài)頁(yè)面結(jié)合現(xiàn)代前端框架和靜態(tài)站點(diǎn)生成器，可以實(shí)現(xiàn)更復(fù)雜的功能和更好的用戶(hù)體驗(yàn)。同時(shí)，靜態(tài)頁(yè)面與無(wú)服務(wù)器架構(gòu)（Serverless）結(jié)合，可以進(jìn)一步簡(jiǎn)化部署和擴(kuò)展。

七、純靜態(tài)頁(yè)面和靜態(tài)頁(yè)面有什么區(qū)別

純靜態(tài)頁(yè)面和靜態(tài)頁(yè)面在概念上有一些細(xì)微的區(qū)別，盡管它們?cè)诤芏嗲闆r下會(huì)被混為一談。以下是它們的主要區(qū)別：

靜態(tài)頁(yè)面

靜態(tài)頁(yè)面指的是那些內(nèi)容在生成后不會(huì)改變的網(wǎng)頁(yè)，除非手動(dòng)修改頁(yè)面代碼。靜態(tài)頁(yè)面可以是純HTML文件，也可以包含一些客戶(hù)端腳本（如JavaScript），但這些腳本在頁(yè)面加載后不會(huì)改變頁(yè)面的基本內(nèi)容。靜態(tài)頁(yè)面的內(nèi)容是固定的，不會(huì)根據(jù)用戶(hù)請(qǐng)求或時(shí)間變化而變化。

純靜態(tài)頁(yè)面

純靜態(tài)頁(yè)面則更為嚴(yán)格，通常指的是那些完全由HTML代碼構(gòu)成，沒(méi)有任何服務(wù)器端腳本或動(dòng)態(tài)內(nèi)容的網(wǎng)頁(yè)。純靜態(tài)頁(yè)面的內(nèi)容在生成后是完全固定的，不會(huì)有任何變化，除非手動(dòng)修改HTML文件。

區(qū)別總結(jié)

1. 內(nèi)容可變性:

   • 靜態(tài)頁(yè)面: 可以包含一些客戶(hù)端腳本，這些腳本可以在頁(yè)面加載后執(zhí)行，產(chǎn)生一些動(dòng)態(tài)效果，但頁(yè)面的基本內(nèi)容是固定的。

   • 純靜態(tài)頁(yè)面: 完全沒(méi)有動(dòng)態(tài)內(nèi)容，所有內(nèi)容都是固定的HTML代碼。

2. 生成方式:

   • 靜態(tài)頁(yè)面: 可以通過(guò)服務(wù)器端腳本生成，但一旦生成，內(nèi)容就不會(huì)改變。

   • 純靜態(tài)頁(yè)面: 直接由HTML代碼構(gòu)成，沒(méi)有任何服務(wù)器端腳本參與。

3. 交互性:

   • 靜態(tài)頁(yè)面: 可以包含一些簡(jiǎn)單的交互功能，如表單驗(yàn)證、圖片輪播等，這些功能由客戶(hù)端腳本實(shí)現(xiàn)。

   • 純靜態(tài)頁(yè)面: 沒(méi)有任何交互功能，所有內(nèi)容都是靜態(tài)的。

適用場(chǎng)景

• 靜態(tài)頁(yè)面: 適用于需要一些簡(jiǎn)單交互功能，但主要內(nèi)容是固定的網(wǎng)站。

• 純靜態(tài)頁(yè)面: 適用于內(nèi)容完全固定，不需要任何交互功能的網(wǎng)站。

八、純靜態(tài)頁(yè)面的漏洞點(diǎn)

盡管純靜態(tài)頁(yè)面相比動(dòng)態(tài)頁(yè)面來(lái)說(shuō)更為安全，但這并不意味著它們完全沒(méi)有漏洞點(diǎn)。以下是一些可能存在的漏洞點(diǎn)：

1. 點(diǎn)擊劫持（Clickjacking）：

   • 純靜態(tài)頁(yè)面即使沒(méi)有服務(wù)器端邏輯，也可能成為點(diǎn)擊劫持的目標(biāo)。攻擊者可以通過(guò)嵌入透明或半透明的iframe，誘使用戶(hù)點(diǎn)擊某個(gè)按鈕，從而觸發(fā)惡意操作。

2. 跨站腳本（XSS）：

   • 雖然純靜態(tài)頁(yè)面不涉及服務(wù)器端數(shù)據(jù)處理，但如果頁(yè)面中包含了用戶(hù)輸入的數(shù)據(jù)（如URL參數(shù)、Referer頭信息等），且這些數(shù)據(jù)未經(jīng)過(guò)適當(dāng)?shù)霓D(zhuǎn)義和過(guò)濾，就可能被用于注入惡意腳本，導(dǎo)致XSS攻擊。

3. DOM-based XSS：

   • 即使頁(yè)面是靜態(tài)的，如果前端JavaScript代碼在處理DOM時(shí)不當(dāng)，比如直接將用戶(hù)可控的數(shù)據(jù)插入到DOM中，也可能導(dǎo)致DOM-based XSS漏洞。

4. 文件包含漏洞：

   • 靜態(tài)頁(yè)面中如果使用了文件包含機(jī)制（如SSI，Server-Side Includes），且包含的文件路徑可控，可能會(huì)導(dǎo)致文件包含漏洞，允許攻擊者包含惡意文件。

5. 物理路徑泄露：

   • 靜態(tài)頁(yè)面在某些情況下可能會(huì)泄露服務(wù)器的物理路徑，這雖然不是直接的安全漏洞，但可以為攻擊者提供有用的信息，幫助他們進(jìn)行進(jìn)一步的攻擊。

6. 不安全的文件上傳：

   • 如果靜態(tài)頁(yè)面允許用戶(hù)上傳文件，而這些文件沒(méi)有經(jīng)過(guò)適當(dāng)?shù)尿?yàn)證和過(guò)濾，可能會(huì)導(dǎo)致惡意文件上傳，進(jìn)而引發(fā)安全問(wèn)題。

7. 內(nèi)容篡改：

   • 如果靜態(tài)頁(yè)面的文件在服務(wù)器上沒(méi)有得到妥善保護(hù)，攻擊者可能會(huì)直接篡改這些文件的內(nèi)容，導(dǎo)致頁(yè)面顯示錯(cuò)誤信息或惡意代碼。

8. 第三方庫(kù)和插件：

   • 靜態(tài)頁(yè)面中使用的第三方庫(kù)和插件可能存在安全漏洞，如果這些漏洞未及時(shí)修復(fù)，可能會(huì)被攻擊者利用，導(dǎo)致安全問(wèn)題。

利用點(diǎn)：

對(duì)搜索框進(jìn)行測(cè)試（注入測(cè)試）

對(duì)登錄處進(jìn)行測(cè)試（萬(wàn)能密碼、注入）

對(duì)站點(diǎn)進(jìn)行目錄掃描（發(fā)現(xiàn)其他突破口）

?未完待續(xù)~~~！！！！