《白帽子讲WEB安全》学习笔记之第2章 浏览器安全-阿里云开发者社区

开发者社区> 开发与运维> 正文

《白帽子讲WEB安全》学习笔记之第2章 浏览器安全

简介:

2浏览器安全

2.1 同源策略

同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。

影响的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。

注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascript页面所在的域是什么。

在浏览器中<script><iframe><img><link>等标签都可以跨域加载资源,而不受同源策略的此案只。这些带“src”属性的标签每次加载时,实际上是由浏览器发起了一次GET请求。不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了javascript的权限,使其不能读写返回的内容。

注意跨域访问方案的安全基础就是新人“javascript无法控制该HTTP头”。

http://www.qq.com/crossdomain.xml

 

结果:

 

This XML file does not appear to have any style information associated  with it. The document tree is shown below.

<cross-domain-policy>

<allow-access-from domain="*.qq.com"/>

<allow-access-from domain="*.gtimg.com"/>

</cross-domain-policy>

 

 

2.2 浏览器沙箱

目前的浏览器多是采用多进程架构,将浏览器的各个功能模块分开,各个浏览器实例分开,当一个进程崩溃时,也不会影响到其他的进程。

Sandbox可以通过封装的API访问本地文件系统,内存,数据库,网络的请求。

浏览器插件会编程浏览器安全的一个威胁来源。

2.3 恶意网址拦截

恶意网址拦截一般都是浏览器周期性的从指定的服务器获取一份最新的恶意网址黑名单。

2.4 高速发展的浏览器安全

很多浏览器插件都是使用javascript编写的,但是这些浏览器插件的权限比一般页面的javascript的权限高。

2.5 小结

浏览器是WEB的入口,浏览器的安全也左右着WEB的安全。



本文转自 梦朝思夕 51CTO博客,原文链接:http://blog.51cto.com/qiangmzsx/1859546

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章