资讯专栏INFORMATION COLUMN

【web安全系列】(一)浏览器安全

yankeys / 2544人阅读

摘要:作为一个开发人员,浏览器安全是不可或缺的知识。的定义非常灵活,比如表示浏览器将信任及其子域名下的内容小结浏览器的安全以同源策略为基础,加深理解同源策略,才能把握住浏览器安全的本质。

作为一个web开发人员,浏览器安全是不可或缺的知识。一方面,浏览器天生就是一个客户端,如果具备了安全功能,就可以像安全软件一样对用户上网起到很好的保护作用;另一方面,浏览器安全也成为浏览器厂商之间竞争的一张底牌,浏览器厂商希望能够针对安全简历技术门槛,已获得竞争优势。

本文将给大家介绍一下浏览器的安全功能

同源策略

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。

这一策略非常重要,浏览器提出了“Origin”(源)这一概念,限制了来自不同Origin的对象无法互相干扰。例如,浏览器打开两个 tab 页 A.html, B.html, A 页面的脚本是无法随意修改 B 页面的。

对于 Javascript 来说,影响“源”的因素有: host,子域名,端口,协议。

需要注意的是,对于当前页面来说,页面内存放 Javascript 文件的域并不重要,重要的是加载 Javascript 的域是什么

换言之,a.com 通过以下代码

加载了 b.com 上的 b.js,但是 b.js 是运行在 a.com 页面中的,因此对于当前打开的页面(a.com 页面)来说,b.js 的 Origin 应该是 a.com 而不是 b.com。

在浏览器中,

因此网站在使用了 EV SSL 证书后,可以教育用户识别真实网址在浏览器地址栏中的“绿色”表现,以对抗钓鱼网站。

厂商的行动

为了在安全领域获得竞争力,微软率先在 IE8 中推出了 XSS Filter 功能,利用对抗反射型 XSS,微软率先推出这一功能,使得IE8在安全领域极具特色。

当用户访问的 URL 中包含了 XSS 攻击脚本时,IE 就会修改其中关键字符使得攻击无法完成,并对用户弹出提示。

Firefox 也不敢其后,在 Firefox 4 推出了 Content Security Policy(CSP),其做法是使用服务器返回的 X-Content-Security-Policy 头部来告诉页面应该遵守的规则。

X-Content-Security-Policy: policy

policy 的定义非常灵活,比如:allow "self" *.mydomain.com 表示浏览器将信任 my domain.com 及其子域名下的内容

小结

浏览器的安全以同源策略为基础,加深理解同源策略,才能把握住浏览器安全的本质。

参考文献 
1.ie8 filter

Content Security Policy

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/107875.html

相关文章

  • [聊系列]聊WEB前端安全那些事儿

    摘要:所以今天,就和大家一起聊一聊前端的安全那些事儿。我们就聊一聊前端工程师们需要注意的那些安全知识。殊不知,这不仅仅是违反了的标准而已,也同样会被黑客所利用。 欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码):https://segmentfault.com/blog... 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求...

    AZmake 评论0 收藏0
  • web 应用常见安全漏洞

    摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...

    darkerXi 评论0 收藏0
  • web 应用常见安全漏洞

    摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...

    Panda 评论0 收藏0
  • HTTP的识别,认证与安全——《HTTP权威指南》系列

    摘要:首发地址识别认证与安全第三部分的章提供了一系列的技术和机器,可用来跟踪身份,进行安全性检测,控制对内容的访问。安全使用基本认证的唯一方式就是将其与配合使用。加密之前的原始报文通常被称为明文或。 WilsonLius blog 首发地址 识别,认证与安全 第三部分的4章提供了一系列的技术和机器,可用来跟踪身份,进行安全性检测,控制对内容的访问。 客户端识别与cookie机制 第十一章 H...

    asce1885 评论0 收藏0
  • HTTP的识别,认证与安全——《HTTP权威指南》系列

    摘要:首发地址识别认证与安全第三部分的章提供了一系列的技术和机器,可用来跟踪身份,进行安全性检测,控制对内容的访问。安全使用基本认证的唯一方式就是将其与配合使用。加密之前的原始报文通常被称为明文或。 WilsonLius blog 首发地址 识别,认证与安全 第三部分的4章提供了一系列的技术和机器,可用来跟踪身份,进行安全性检测,控制对内容的访问。 客户端识别与cookie机制 第十一章 H...

    Jason_Geng 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<