資訊專欄INFORMATION COLUMN
摘要:作為一個開發(fā)人員,瀏覽器安全是不可或缺的知識。的定義非常靈活,比如表示瀏覽器將信任及其子域名下的內(nèi)容小結(jié)瀏覽器的安全以同源策略為基礎(chǔ),加深理解同源策略,才能把握住瀏覽器安全的本質(zhì)。
作為一個web開發(fā)人員,瀏覽器安全是不可或缺的知識。一方面,瀏覽器天生就是一個客戶端,如果具備了安全功能,就可以像安全軟件一樣對用戶上網(wǎng)起到很好的保護作用;另一方面,瀏覽器安全也成為瀏覽器廠商之間競爭的一張底牌,瀏覽器廠商希望能夠針對安全簡歷技術(shù)門檻,已獲得競爭優(yōu)勢。
本文將給大家介紹一下瀏覽器的安全功能
同源策略同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說Web是構(gòu)建在同源策略基礎(chǔ)之上的,瀏覽器只是針對同源策略的一種實現(xiàn)。
瀏覽器的同源策略,限制了來自不同源的“document”或腳本,對當(dāng)前“document”讀取或設(shè)置某些屬性。
這一策略非常重要,瀏覽器提出了“Origin”(源)這一概念,限制了來自不同Origin的對象無法互相干擾。例如,瀏覽器打開兩個 tab 頁 A.html, B.html, A 頁面的腳本是無法隨意修改 B 頁面的。
對于 Javascript 來說,影響“源”的因素有: host,子域名,端口,協(xié)議。
需要注意的是,對于當(dāng)前頁面來說,頁面內(nèi)存放 Javascript 文件的域并不重要,重要的是加載 Javascript 的域是什么
換言之,a.com 通過以下代碼
加載了 b.com 上的 b.js,但是 b.js 是運行在 a.com 頁面中的,因此對于當(dāng)前打開的頁面(a.com 頁面)來說,b.js 的 Origin 應(yīng)該是 a.com 而不是 b.com。
在瀏覽器中,
因此網(wǎng)站在使用了 EV SSL 證書后,可以教育用戶識別真實網(wǎng)址在瀏覽器地址欄中的“綠色”表現(xiàn),以對抗釣魚網(wǎng)站。
廠商的行動為了在安全領(lǐng)域獲得競爭力,微軟率先在 IE8 中推出了 XSS Filter 功能,利用對抗反射型 XSS,微軟率先推出這一功能,使得IE8在安全領(lǐng)域極具特色。
當(dāng)用戶訪問的 URL 中包含了 XSS 攻擊腳本時,IE 就會修改其中關(guān)鍵字符使得攻擊無法完成,并對用戶彈出提示。
Firefox 也不敢其后,在 Firefox 4 推出了 Content Security Policy(CSP),其做法是使用服務(wù)器返回的 X-Content-Security-Policy 頭部來告訴頁面應(yīng)該遵守的規(guī)則。
X-Content-Security-Policy: policy
policy 的定義非常靈活,比如:allow "self" *.mydomain.com 表示瀏覽器將信任 my domain.com 及其子域名下的內(nèi)容
小結(jié)瀏覽器的安全以同源策略為基礎(chǔ),加深理解同源策略,才能把握住瀏覽器安全的本質(zhì)。
參考文獻(xiàn)
1.ie8 filter
Content Security Policy
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/107875.html
摘要:所以今天,就和大家一起聊一聊前端的安全那些事兒。我們就聊一聊前端工程師們需要注意的那些安全知識。殊不知,這不僅僅是違反了的標(biāo)準(zhǔn)而已,也同樣會被黑客所利用。 歡迎大家收看聊一聊系列,這一套系列文章,可以幫助前端工程師們了解前端的方方面面(不僅僅是代碼):https://segmentfault.com/blog... 隨著互聯(lián)網(wǎng)的發(fā)達(dá),各種WEB應(yīng)用也變得越來越復(fù)雜,滿足了用戶的各種需求...
摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當(dāng)使用外...
摘要:應(yīng)用常見安全漏洞一覽注入注入就是通過給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當(dāng)使用外...
摘要:首發(fā)地址識別認(rèn)證與安全第三部分的章提供了一系列的技術(shù)和機器,可用來跟蹤身份,進行安全性檢測,控制對內(nèi)容的訪問。安全使用基本認(rèn)證的唯一方式就是將其與配合使用。加密之前的原始報文通常被稱為明文或。 WilsonLius blog 首發(fā)地址 識別,認(rèn)證與安全 第三部分的4章提供了一系列的技術(shù)和機器,可用來跟蹤身份,進行安全性檢測,控制對內(nèi)容的訪問。 客戶端識別與cookie機制 第十一章 H...
摘要:首發(fā)地址識別認(rèn)證與安全第三部分的章提供了一系列的技術(shù)和機器,可用來跟蹤身份,進行安全性檢測,控制對內(nèi)容的訪問。安全使用基本認(rèn)證的唯一方式就是將其與配合使用。加密之前的原始報文通常被稱為明文或。 WilsonLius blog 首發(fā)地址 識別,認(rèn)證與安全 第三部分的4章提供了一系列的技術(shù)和機器,可用來跟蹤身份,進行安全性檢測,控制對內(nèi)容的訪問。 客戶端識別與cookie機制 第十一章 H...
閱讀 2779·2021-09-23 11:44
閱讀 1670·2021-09-13 10:24
閱讀 2618·2021-09-08 09:36
閱讀 1230·2019-08-30 15:54
閱讀 2247·2019-08-30 13:54
閱讀 3307·2019-08-30 10:57
閱讀 1843·2019-08-29 18:43
閱讀 3609·2019-08-29 15:10
