《白帽子讲WEB安全》读书笔记

浏览器安全

同源策略

浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。

影响源的因素有

  • host(域名或IP地址)
  • 子域名
  • 端口
  • 协议

其中,对于当前页面来说,页面存放Javascript文件的域并不重要,重要的是加载Javascript的页面所在的域是什么。

  • <script>,<img>,<iframe>,<link>(带src属性的标签)等标签都可以跨域加载资源,而不受同源策略的限制。每次加载时实际上是浏览器发起了GET请求。通过src属性加载的资源,浏览器限制了Javascript的权限,不能读写返回的内容。
  • 对于XMLHttpRequest,可以访问来自同源对象的内容,但是受到同源策略的限制,需要通过目标域返回的HTTP头来授权是否允许跨域访问。

浏览器的同源策略是浏览器安全的基础。

浏览器沙箱

浏览器的多进程架构,将浏览器的各个功能模块分开,各个浏览器实例分开,当一个进程崩溃时,也不会影响到其他进程。

Sandbox即沙箱,是资源隔离类板块,一般是为了让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区之外的资源。如果要跨越Sandbox边界进行交换,则只能通过指定的数据通道如封装的API完成。

恶意网址拦截

目前主要以拦截黑名单网站为主,且采用EV SSL证书,已增强对安全网站的识别。

高速发展的浏览器安全

IE 8 推出 XSS filter,对抗反射型XSS。

FireFox 推出 CSP,做法是服务器端返回一个HTTP头,并在其中描述页面应该遵守的安全策略。

浏览器对畸形URL的解析。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇