白帽子讲Web安全学习之浏览器
目录
1.同源策略
2.浏览器沙箱
3. 恶意网址拦截
1.同源策略
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响。浏览器的同源策略限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。如果不存在同源策略的情况下,可能a.com的一段js脚本即使没有在b.com加载时也可以对b.com的页面进行随意修改,所以为了防止此情况的发生,浏览器提出了“Origin”的概念,来自不同的Origin对象无法相互干扰。
对JS来说,以下情况被认为是同源或不同源的
URL | Outcome | Reason |
http://store.company.com/dir2/other.html | success | |
http://store.company.com/dir/inner/another.html | success | |
https://store.company.com/secure.html | Faliure | different protocol |
http://store.company.com:81/dir/etc.html | Faliure | different port |
http://news.company.com/dir/other.html | Faliure | different host |
由表可以看出,对JS来说不同的协议,端口,域名都会被看作是来自不同的源。对于浏览器来说,除了DOM,Cookie,XMLHttpRequest会受到同源策略的限制外,浏览器加载的一些第三方插件也有各自的同源策略,常见的有 Flash,Java,Applet,Silverlight,Google Gears等。
2.浏览器沙箱
浏览器沙箱也被指为“资源隔离类模块”,浏览器沙箱设计目的是为了让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区以外的资源。如果一定要跨越沙箱产生数据交换,则智能通过指定的数据通道,比如经过封装的API来完成,在这些API中会严格检查请求的合法性。沙箱机制可以让不受信任的网页代码,JS代码运行在一个受限制的环境中,从而保护本地环境的安全。
3. 恶意网址拦截
恶意网址拦截功能都是基于黑名单的功能来实现的,一般都是浏览器周期性的从服务端获取一份最新的恶意网址黑名单,如果用户上网时访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。常见的恶意网址分为两类 :一类是挂马网站,这些网站通常包含有恶意脚本如JS或Flash,通过利用浏览器的漏洞(包括一些插件,控件漏洞)来执行shellcode,在用户电脑中植入木马病毒;另一类则是钓鱼网站,通过模仿知名网站的相似页面来欺骗用户。
除了恶意网址拦截以外,主流的浏览器还支持EV SSL证书以增强对安全网站的识别。EV SSL证书是全球数字证书颁发机构于浏览器厂商一起打造的增强型证书,其主要特色是浏览器会给予EVSSL证书特殊待遇。EVSSL证书也遵循X509标准,并向前兼容普通证书,如果浏览器不支持EV模式则会将其当作普通证书,若支持则会在地址栏特别标注
白帽子讲Web安全学习之浏览器相关推荐
- 白帽子讲Web安全学习之CSRF
目录 1.CSRF简介 2.CSRF进阶 2.1 浏览器Cookie策略和P3P的副作用 2.2 提交方式 2.3 CSRF防御 2.3.1 验证码 2.3.2 Referer Check 2.3.3 ...
- 白帽子讲web安全之 浏览器安全
白帽子讲web安全之 浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名.协议.端口相同.一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏 ...
- 在学习web安全的小白看过来,这本《白帽子讲web安全》强烈推荐,必读!(附PDF)
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 前排提醒:文末有pdf领取 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 ...
- 《白帽子讲Web安全》学习笔记
一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...
- 学习web安全,强烈推荐这本《白帽子讲web安全》!
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指 ...
- 《白帽子讲Web安全》读后感 —— 对道哥的致敬
<白帽子讲Web安全>读后感 --Deep Blue (一个安全小兵的感受) 这是一篇作业:这是一篇读后感:这是一篇记录安全的感悟:这是一篇对道哥的敬仰:这是我安全启蒙的钥匙...... ...
- 读《白帽子讲Web安全》之客户端脚本安全(一)
2019独角兽企业重金招聘Python工程师标准>>> [第2章 浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...
- 读白帽子讲WEB安全,摘要
读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...
- 白帽子讲WEB安全读书笔记(慢慢更新)
道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...
最新文章
- FusionChart完全入门手册 -2
- JavaScript GetAbsoultURl
- springboot starter工作原理_98,谈谈SpringBoot的工作原理
- linux下 java 文本_Java中如何将输入的信息写入文本中
- linux alias使用
- XMLHttpRequest的属性
- codeforces 486 E. LIS of Sequence(dp)
- 传智播客风清扬视频-------线程简介2
- rtx服务器限制文件传输,rtx 服务器 文件传输 配置
- 嵌入式--深入理解单片机(一)单片机程序是如何运行起来的以及单片机的ROM和RAM
- 微服务和分布式的区别什么?有什么特点?
- eclipse m2eclipse插件迁移到m2e插件
- 如何使用沃顿研究数据中心(WRDS,CRSP)查询美股历史交易数据(R语言的调用方法以及代码示例)
- 路程c语言,一道关于路程的程序。我一直看不懂,请教大家帮着看看和解释一下,谢谢。我很急急着...
- org.eclipse.wst.xsl.jaxp.debug.invoker.TransformationException
- 我会接受长期出差而高工资的工作
- 螺旋打印二维数组(字节三面)
- Intel 82801H(ICH8) HD Audio Controller 的驱动问题
- 全网首讲最详细AMR系统介绍(1):Abstract Meaning Representation(AMR) 的基础表示逻辑;附英文版原 pdf 资料
- 鲸企:面对激荡变革,传统企业更应该迎难而上
热门文章
- Python列表/元组/字典/集合详解
- 干货!手把手教你穿透内网
- BOM_创建更新物料清单脚本
- oracle角色(role)和权限(privilege)
- 佐治亚州立大学计算机科学,佐治亚州立大学计算机科学研究生语言及申请要求-费用-课程设置...
- 四、网络层(一)网络层的功能
- html5清新文艺,清新文艺句子
- 硬核干货:网易云音乐如何做产品创新
- Python之 函数笔记
- 港科夜闻|香港科技大学国际管理理学硕士(MIMT)课程连续第二年跻身全球管理教育联盟 (CEMS) 2021年度最佳学院前三甲...