cure53/HTTPLeaks

# HTTPLeaks ## 这是什么？ 该项目旨在枚举网站可能泄露 HTTP 请求的所有方式。 全部集中在一个 HTML 文件中。请查看本仓库根目录下的 `leak.html` 文件（[纯文本版本](https://raw.githubusercontent.com/cure53/HTTPLeaks/main/leak.html)）。 ## 它有什么用？ 你可以用它来测试你的浏览器是否存在 *CSP 泄露*，你的网页邮件是否存在 *HTTP 泄露*，以及测试任何其他*不应*向不该发送的地方发送 HTTP 请求的组件。 我们所说的“HTTP 泄露”，本质上是指这样一种情况：特定的 HTML 元素和属性组合触发了一个对外部资源的请求——而这本不应该发生。以 HTML 邮件的正文为例，一次 HTTP 泄露就会告诉外面的某人你刚刚阅读了这封邮件。这并不总是坏事——但几乎绝无益处。 或者想想 Web 代理。这些工具试图展示来自不同域名的网站，以提供它们所谓的“匿名性”。当然，它们必须重写所有通过 HTTP（或类似协议）获取资源的 HTML 元素和属性，如果它们漏掉了某些内容，所谓的“匿名性”就不复存在了。 而且，由于现在几乎没有人确切知道还有哪些元素和属性可以请求外部资源，我们决定创建这个项目来进行持续追踪。 ## 接下来呢？ 只要我们发现新的泄露方式，这个 HTML 就会随之扩充。非常欢迎提交包含其他罕见 HTTP 泄露来源的 Pull Request！同时，也欢迎大家提供关于如何以其他形式（JSON、HTML、XML 等）展示这些内容的建议。 ## 鸣谢 感谢 [@hasegawayosuke](https://twitter.com/hasegawayosuke)、[@masa141421356](https://twitter.com/masa141421356)、[@mramydnei](https://twitter.com/mramydnei)、[@avlidienbrunn ](https://twitter.com/avlidienbrunn )、[@orenhafif](https://twitter.com/orenhafif)、[@freddyb](https://twitter.com/freddyb)、[@tehjh](https://twitter.com/tehjh)、[@webtonull](https://twitter.com/webtonull)、@intchloe、@Boldewyn 以及许多其他人，感谢你们在这里添加的内容和做出的各种小修复！

标签：CISA项目, CSP Bypass, HTML安全, HTTP请求泄漏, meg, SEO检索词, Web代理, Web安全, 信息安全, 内容安全策略, 后端开发, 多模态安全, 安全测试, 插件系统, 攻击性安全, 攻击面枚举, 数据展示, 电子邮件安全, 红队, 网络安全, 蓝队分析, 规则仓库, 跨域请求, 隐私保护, 隐私泄漏, 黑盒测试