資訊專欄INFORMATION COLUMN
摘要:作為一個開發人員,瀏覽器安全是不可或缺的知識。的定義非常靈活,比如表示瀏覽器將信任及其子域名下的內容小結瀏覽器的安全以同源策略為基礎,加深理解同源策略,才能把握住瀏覽器安全的本質。
作為一個web開發人員,瀏覽器安全是不可或缺的知識。一方面,瀏覽器天生就是一個客戶端,如果具備了安全功能,就可以像安全軟件一樣對用戶上網起到很好的保護作用;另一方面,瀏覽器安全也成為瀏覽器廠商之間競爭的一張底牌,瀏覽器廠商希望能夠針對安全簡歷技術門檻,已獲得競爭優勢。
本文將給大家介紹一下瀏覽器的安全功能
同源策略同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現。
瀏覽器的同源策略,限制了來自不同源的“document”或腳本,對當前“document”讀取或設置某些屬性。
這一策略非常重要,瀏覽器提出了“Origin”(源)這一概念,限制了來自不同Origin的對象無法互相干擾。例如,瀏覽器打開兩個 tab 頁 A.html, B.html, A 頁面的腳本是無法隨意修改 B 頁面的。
對于 Javascript 來說,影響“源”的因素有: host,子域名,端口,協議。
需要注意的是,對于當前頁面來說,頁面內存放 Javascript 文件的域并不重要,重要的是加載 Javascript 的域是什么
換言之,a.com 通過以下代碼
加載了 b.com 上的 b.js,但是 b.js 是運行在 a.com 頁面中的,因此對于當前打開的頁面(a.com 頁面)來說,b.js 的 Origin 應該是 a.com 而不是 b.com。
在瀏覽器中,
因此網站在使用了 EV SSL 證書后,可以教育用戶識別真實網址在瀏覽器地址欄中的“綠色”表現,以對抗釣魚網站。
廠商的行動為了在安全領域獲得競爭力,微軟率先在 IE8 中推出了 XSS Filter 功能,利用對抗反射型 XSS,微軟率先推出這一功能,使得IE8在安全領域極具特色。
當用戶訪問的 URL 中包含了 XSS 攻擊腳本時,IE 就會修改其中關鍵字符使得攻擊無法完成,并對用戶彈出提示。
Firefox 也不敢其后,在 Firefox 4 推出了 Content Security Policy(CSP),其做法是使用服務器返回的 X-Content-Security-Policy 頭部來告訴頁面應該遵守的規則。
X-Content-Security-Policy: policy
policy 的定義非常靈活,比如:allow "self" *.mydomain.com 表示瀏覽器將信任 my domain.com 及其子域名下的內容
小結瀏覽器的安全以同源策略為基礎,加深理解同源策略,才能把握住瀏覽器安全的本質。
參考文獻
1.ie8 filter
Content Security Policy
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/107875.html
摘要:所以今天,就和大家一起聊一聊前端的安全那些事兒。我們就聊一聊前端工程師們需要注意的那些安全知識。殊不知,這不僅僅是違反了的標準而已,也同樣會被黑客所利用。 歡迎大家收看聊一聊系列,這一套系列文章,可以幫助前端工程師們了解前端的方方面面(不僅僅是代碼):https://segmentfault.com/blog... 隨著互聯網的發達,各種WEB應用也變得越來越復雜,滿足了用戶的各種需求...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:首發地址識別認證與安全第三部分的章提供了一系列的技術和機器,可用來跟蹤身份,進行安全性檢測,控制對內容的訪問。安全使用基本認證的唯一方式就是將其與配合使用。加密之前的原始報文通常被稱為明文或。 WilsonLius blog 首發地址 識別,認證與安全 第三部分的4章提供了一系列的技術和機器,可用來跟蹤身份,進行安全性檢測,控制對內容的訪問。 客戶端識別與cookie機制 第十一章 H...
摘要:首發地址識別認證與安全第三部分的章提供了一系列的技術和機器,可用來跟蹤身份,進行安全性檢測,控制對內容的訪問。安全使用基本認證的唯一方式就是將其與配合使用。加密之前的原始報文通常被稱為明文或。 WilsonLius blog 首發地址 識別,認證與安全 第三部分的4章提供了一系列的技術和機器,可用來跟蹤身份,進行安全性檢測,控制對內容的訪問。 客戶端識別與cookie機制 第十一章 H...
閱讀 2799·2021-09-23 11:44
閱讀 1687·2021-09-13 10:24
閱讀 2638·2021-09-08 09:36
閱讀 1241·2019-08-30 15:54
閱讀 2264·2019-08-30 13:54
閱讀 3323·2019-08-30 10:57
閱讀 1860·2019-08-29 18:43
閱讀 3627·2019-08-29 15:10
