关于浏览器安全

本文涉及的产品
.cn 域名,1个 12个月
简介:

前言:

      浏览器是互联网的重要入口,在安全防护中,浏览器的作用也是越来越被人们所重视,在以为研究攻防中,大家更重视的是服务器端漏洞。而在现在,安全研究的范围已经覆盖了所有用户使用互联网的方式,浏览器正是其中之一

 

   本文将介绍一些主要的浏览器安全功能

浏览器安全策略

一:同源策略

同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能都可能会受到影响,可以说Web是构建在同源策略的基础之上的,浏览器知识针对同源策略的一种实现

影响源的因素有:host(域名或IP地址,如果是IP地址则看做一个根域名)、子域名、端口、协议

例:对JavaScript来说以下情况被认为是同源与不同源

  http://www.hao123.com/dir/aa.htm                      

       http://www.hao123.com/dir2/aa.html                                        

       https://www.hao123.com/aa.html                                               协议不同

       http://www.hao123.com:81/dir/aa.html                                   端口不同

    http://news.hao123.com/dir/aa.html                                       域名

 

注意:(1)同源策略是基于信任基础,但是也可以绕过同源策略。例如<scipt>标签,只能加载资源,不能读写资源,此漏洞可以绕过同源策略。

2XMLHttpRequest受到同源策略影响,不能跨越访问资源,在AJAX应用的开发中尤其需要注意这一点,如果XMLHttpRequest能够跨域访问资源,则可能会导致一些敏感数据泄露。

 

二:恶意网址拦截

恶意网址拦截原理:浏览器周期性的从服务器端获取一份最新的恶意网址黑名单,如果用户上网时访问的网址存在于此给名单中,浏览器则会弹出一个警告页面

常见恶意网址分两类:

(1) 挂马网站:此类网站通常包含有恶意脚本如JavaScriptFlash,通过利用浏览器的漏洞(包括一些插件、控件漏洞)执行shellcode,在用户电脑上执入木马

(2) 另一种就是钓鱼网站,通过模仿知名网站的相似页面来欺骗客户

一些有实例的浏览器的厂商,比如Google和微软,由于本身技术研发实力较强,且又掌握了大量的用户数据,因此自建有安全团队做恶意网址识别工作,用以提供浏览器所使用的黑名单。而PhishTank是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁

e2cc9ef8465b03547a74a23a444697eca6b00708 

 

  除了恶意网址黑名单拦截功能外,主流浏览器都开始支持EV SSL证书,以增强对安全网站的识别。很明显的是区别是 地址栏 开头是http 还是 https 如下图的两个网站对比

                     249ad5975bcdf202308321c9119f921b33ee270d                                                                      80b906c2767a45b78c0619ccfb3b6213c933cc85 

 

      因此网站在使用了EV SSL证书后,可以教育用户如何识别真实网站在浏览器中的“绿色”表现,以对抗钓鱼网站

 

三:高速发展的浏览器安全

   为了在安全领域获得竞争力,微软率先在IE8中推出XSS Filter功能,用来对抗反射型XSS,一直以来,XSS(跨站脚本攻击)都被认为是服务器应用端的漏洞,应该由服务器端应用在代码中修补,而微软率先推出了这一功能,就使得IE8在安全领域极具特色。

   当用户访问的URL中包含了XSS攻击的脚本,IE就会修改其中的关键字符,使得攻击无法成功。

Firefox也不甘其后,在Firefox中推出了Content Security PolicyCSP),这一策略是由安全专家Robert Hanson最早提出的,其做法是由服务器端返回一个HTTP头,并在其中描述页面应该遵守的安全策略

由于XSS攻击在没有第三方插件帮助的情况下,无法控制HTTP头,所以这一项措施是可行的,而这种自定义的语法必须由浏览器支持并实现,Firefox是第一个支持此标准的浏览器

CSP的设计理念无疑是出色的,但是CSP的配置规则较为复杂,在页面较多的情况下,很难一个个配置起来,且后期维护成本也非常巨大,这些原因导致CSP未能得到很好的推广。

 

总结:

浏览器的安全以安全策略为基础,加深理解同源策略,才能把握住浏览器安全的本质,在当前浏览器告诉发展的形式下,恶意网址检测,插件安全等问题都会显得越来越重要。


注:本文转自 吴翰清著《Web安全》一书

相关文章
|
6月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
2月前
|
Web App开发 缓存 安全
解决Edge浏览器提示“此网站已被人举报不安全”
【9月更文挑战第1天】当 Edge 浏览器提示“此网站被举报为不安全”时,可尝试:关闭 Microsoft Defender SmartScreen;检查网站安全性;清除缓存和 Cookie;更新 Edge 至最新版;或使用其他浏览器。若问题依旧,联系网站管理员和技术支持。同时,避免在不可信网站输入敏感信息,保护网络安全与隐私。
442 7
|
3月前
|
存储 缓存 安全
解决Edge浏览器提示“此网站已被人举报不安全”
【8月更文挑战第19天】如果Edge浏览器提示“此网站已被人举报不安全”,首先确认网站可信度及安全证书有效性,避免访问可疑网站。检查浏览器是否需要更新,并确保自动更新功能已开启。可暂时关闭Microsoft Defender SmartScreen(不建议长期关闭),清除缓存和Cookies,或检查第三方安全软件设置。若问题持续,考虑重置Edge浏览器设置,保留重要数据。如仍无法解决,联系网站管理员或微软支持。
375 7
|
6月前
|
存储 缓存 安全
浏览器中的安全沙箱
【1月更文挑战第3天】
|
Web App开发 前端开发 JavaScript
让谷歌浏览器不再显示不安全内容的提示
让谷歌浏览器不再显示不安全内容的提示
360 0
|
安全 算法 网络协议
浏览器基础原理-安全: HTTPS
浏览器基础原理-安全: HTTPS
87 0
|
Web App开发 存储 监控
浏览器基础原理-安全: 渲染进程-安全沙盒
浏览器基础原理-安全: 渲染进程-安全沙盒
71 0
|
安全
浏览器基础原理-安全: CSRF攻击
浏览器基础原理-安全: CSRF攻击
92 0
|
JavaScript 安全 前端开发
浏览器基础原理-安全: 同源策略
浏览器基础原理-安全: 同源策略
65 0
|
存储 编解码 安全
浏览器基础原理-安全: 跨站脚本攻击(XSS)
浏览器基础原理-安全: 跨站脚本攻击(XSS)
58 0