做游戏动画外包网站,阿里云建设网站好不好,html5 手机网站 模板,接技术标做网站目录
第二篇 客户端脚本安全
第2章 浏览器安全
2.1同源策略
2.2浏览器沙箱
2.3恶意网址拦截
2.4高速发展的浏览器安全 第二篇 客户端脚本安全
第2章 浏览器安全
近年来随着互联网的发展#xff0c;人们发现浏览器才是互联网最大的入口#xff0c;绝大多数用户使用互联…目录
第二篇 客户端脚本安全
第2章 浏览器安全
2.1同源策略
2.2浏览器沙箱
2.3恶意网址拦截
2.4高速发展的浏览器安全 第二篇 客户端脚本安全
第2章 浏览器安全
近年来随着互联网的发展人们发现浏览器才是互联网最大的入口绝大多数用户使用互联网的工具是浏览器。颇具年代感的开卷语
“浏览器天生就是一个客户端。”
2.1同源策略
浏览器出于安全考虑对同源请求放行对异源请求限制这些限制规则统称为同源策略。
浏览器对标签发出的跨域请求轻微限制对AJAX发出的跨域请求严厉限制。
对于客户端web安全的学习与研究来说深入理解同源策略非常重要是后续学习的基础。
浏览器的同源策略限制了来自不同源的“document”或脚本对当前“document”读取或设置某些属性。 影响“源”的因素有host域名或IP地址如果是IP地址则看作一个根域名、子域名、端口、协议。
XMLHttpRequest受到同源策略的约束不能跨域访问资源在AJAX应用的开发中尤其需要注意这一点。如果XMLHttpRequest能够跨域访问资源则可能会导致一些敏感数据泄露比如CSRF的token从而导致发生安全问题。
在浏览器中script、img、iframe、link、form、audio、video等标签都可以跨域加载资源而不受同源策略的限制。这些带“src”属性加载的资源浏览器限制了js的权限使其不能读、写返回的内容。 2.2浏览器沙箱
在网页中植入一段恶意代码利用浏览器漏洞执行任意代码的攻击方式在黑客圈子里被称为“挂马”。“挂马”是浏览器需要面对的一个主要威胁。
以下是一个简单的例子来说明挂马和XSS的区别
假设有一个网站其中有一个留言板功能用户可以在上面留言。攻击者想要攻击使用该网站的用户他们可以通过以下方式进行攻击 挂马攻击攻击者入侵该网站的后台将恶意代码植入到留言板页面中。当用户访问留言板页面时恶意代码会自动执行从而攻击用户的计算机或移动设备。 XSS攻击攻击者在留言板上留下一个恶意脚本当其他用户访问该留言板页面时恶意脚本会在其浏览器中执行。恶意脚本可能会窃取用户的会话信息等。
Sandbox即沙箱计算机技术发展到今天Sandbox已经成为泛指“资源隔离类模块”的代名词。Sandbox的设计目的一般是为了让不可信任的代码运行在一定的环境中限制不可信任的代码访问隔离区外的资源。如果一定要跨越Sandbox边界产生数据交换则只能通过指定的数据通道比如经过封装的API来完成在这些API中会严格检查请求的合理性。 2.3恶意网址拦截
恶意网址拦截的工作原理很简单一般都是浏览器周期性地从服务器端获取一份最新的恶意网址黑名单如果用户上网时访问的网址存在于此黑名单中浏览器就会弹出一个警告页面。
常见的恶意网址分为两类一类是挂马网站这些网站通常包含有恶意脚本在用户电脑中植入木马另一类是钓鱼网站通过模仿知名网站的相似页面来欺骗用户。 2.4高速发展的浏览器安全
微软在IE8中推出了XSS Filter功能用以对抗反射型XSS。当用户访问的URL中包含了XSS攻击的脚本时IE就会修改其中的关键字符使得攻击无法成功完成并对用户弹出提示框。
Firefox推出了Content Security Policy(CSP)。这一策略做法时由服务器端返回一个http头并在其中描述页面应该遵守的安全策略。这种自定义的语法必须由浏览器支持并实现
除了这些安全功能外浏览器的用户体验也越来越好随之而来的是许多标准定义之外的“友好”功能如畸形URL修正但很多程序员并不知道这些新功能从而可能导致一些安全隐患。
浏览器加载的插件也是浏览器安全需要考虑的一个问题扩展和插件极大地丰富浏览器功能除了插件可能存在漏洞外插件本身也可能会有恶意行为。扩展和插件的权限都高于页面js的权限比如可以进行一些跨域网络请求等。
