浏览器安全

最新推荐文章于 2024-05-13 15:45:00 发布
最新推荐文章于 2024-05-13 15:45:00 发布
阅读量6.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CYP11112/article/details/104455986
版权

1.同源策略

所谓的同源,指的是协议,域名,端口相同。浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。
例:

URL结果
http://a.xyz.com/dir2/other.html成功
http://a.xyz.com/dir/inner/another.html成功
http://a.xyz.com:81/dir/etc.html失败 不同端口 ( 81和80)
https://a.xyz.com/secure.htm失败 不同协议 ( https和http )
http://a.opq.com/dir/other.html失败 不同域名 ( xyz和opq)

2.内容安全策略(CSP)

1.csp是什么

CSP指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。
2.意义
防XSS等攻击的利器。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。
3.CSP指令

指令 指令和指令值示例 指令说明
default-src ‘self’ cdn.guangzhul.com 默认加载策略
script-src ‘self’ js.guangzhul.com 对 JavaScript 的加载策略。
style-src ‘self’ css.guangzhul.com 对样式的加载策略。
img-src ‘self’ img.guangzhul.com 对图片的加载策略。
connect-src ‘self’ 对 Ajax、WebSocket
等请求的加载策略。不
允许的情况下,浏览器会模
拟一个状态为 400 的响应。
font-src font.cdn.guangzhul.com 针对 WebFont 的加载策略。
object-src ‘self’ 针对 、或等标签引入的 flash 等插件的加载策略。
media-src media.cdn.guangzhul.com 针对媒体引入的 HTML 多媒体的加载策略。
frame-src ‘self’ 针对 frame 的加载策略。
report-uri /report-uri 告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。 特别的:如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。

coco???YP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web浏览安全
qq_48456652的博客
09-29 1221
目录 一、Web应用基础 1、Web应用的基本概念 2. Web应用系统的体系架构 3. Web应用系统安全的突破点 二、浏览器所面临的安全威胁 1. XSS跨站脚本攻击 2. 跨站请求伪造(CSRF) 3. 网页挂马 4. 网络钓鱼 三、养成良好的Web浏览安全意识 1. 为什么要养成良好的Web浏览安全意识 2. 怎样养成良好的Web浏览安全意识 四、如何安全使用浏览器 1. 清除浏览数据 2. 防止跟踪 3. 避免自动口令填充 4. 慎用代理服务器 一、Web应用基
js实现页面跳转的几种方式
在思考中沉淀......
07-23 673
第一种:    "javascript" type="text/javascript">           window.location.href="login.jsp?backurl="+window.location.href;     第二种:    "javascript"> alert("返回"); window.history.back(-1);   第三种:   "javascr
跳转3秒后自动返回该页面
07-25
跳转3秒后自动返回该页面 点击提交 跳转到提示页面 3秒后自动返回提交页面。
浏览器的几种防护策略
最新发布
m0_61869253的博客
05-13 908
同源策略(Same Origin Policy)是一种约定,他是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能受到影响,可以说web的构建实在同源策略的基础之上的,浏览器只是针对同源策略的一种实现表示。浏览器的同源策略,限制了来自不同源的文件或脚本,对当前的文件读取或者设置某些属性。如果没有同源策略,假设a.com有一段javascript脚本,在b.com未曾加载此脚本时,a.com可以随意修改b.com的页面(在浏览器的显示中)。
html页面自动跳转链接3种方法
张成的博客2017-2020
01-06 2万+
方法1: <meta http-equiv="refresh" content="3;URL=www.wulangwang.top/"> 方法2: <script type="text/javascript"> window.onload=function(){ setTimeout(g...
记一次偶然的网站sql注入
he11oWor1d2000的博客
09-09 1万+
“绿色网站
springboot整合qq登录<3.获取跳转url和回调的接口>
小小雨伞的博客
07-26 9527
获取跳转url和回调的接口本节就是qq登录主要的核心代码了。
免费资源网站共享
lianjiangwuzhong的专栏
06-27 1万+
如果文章对你有帮助,记得一键三连❤ 一、视频类 1. 预告片世界:https://www.yugaopian.cn/ 2. 33台词:http://33.agilestudio.cn/ 3.MixKit:https://mixkit.co/free-stock-video/ 4.Pexel:https://www.pexels.com/zh-cn/video/ 5.Videezy:https://www.videezy.com/ 6.VJShi:https://www.vjshi.com/ 二、PPT模板
浏览器安全漏洞解析
03-04
浏览器作为用户与网络交互时使用最频繁的窗口,要容纳非常广泛的内容。...浏览器漏洞不非一定是缓冲区溢出,包括多种因素,像控件安全问题,脚本权限盘查失误等问题,都给入侵者提供了攻击的机会。
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在...
浏览器安全360
03-05
支持快速浏览网页下载安全等等好处的一款浏览器等等 喜爱
浏览器安全杀毒版
07-31
浏览器安全杀毒版是一款专为提升用户在线浏览体验和网络安全防护设计的专业软件。这款软件集成了常规浏览器的功能,同时还增加了强大的杀毒和安全防护模块,旨在保护用户免受恶意软件、病毒、网络钓鱼等在线威胁的...
Avira 浏览器安全-4.2.7.2439.zip
12-27
名称:Avira 浏览器安全 ---------------------------------------- 版本:4.2.7.2439 作者:Avira 分类:网页增强 ---------------------------------------- 概述:Avira浏览器安全保护您免受恶意网站和隐形跟踪器...
浏览器安全思维导图.jpg
04-06
浏览器安全思维导图
JavaScript 页面跳转
05-11 6059
        按钮式:      链接式:   返回上一步   ">返回上一步         This is a link");%>  直接跳转式:   window.location.href=http://some location; 
JSP跳转方式
热门推荐
itmyhome的专栏
11-15 4万+
一:RequestDispatcher.forward()        是在服务器端起作用,当使用forward()时,Servlet engine 传递HTTP请求从当前的Servlet  or jsp  到另外一个Servlet JSP 或普通HTML文件        可以进行参数传递 如: RequestDispatcher rd = context.getRequestDispa
五种JSP页面跳转方法详解
薛敬明的专栏
04-07 1584
1. RequestDispatcher.forward()   是在服务器端起作用,当使用forward()时,Servlet engine传递HTTP请求从当前的Servlet or JSP到另外一个Servlet,JSP 或普通HTML文件,也即你的form提交至a.jsp,在a.jsp用到了forward()重定向至b.jsp,此时form提交的所有信息在 b.jsp都可以获得,参数自
浏览器安全策略视频地址不能为http协议
09-03
浏览器安全策略要求视频地址不能为http协议,而是必须使用https协议。这是因为http协议传输的数据是明文的,容易被黑客截取和篡改,存在安全隐患。相比之下,https协议通过SSL/TLS加密通信,确保数据传输的安全性和完整性。因此,浏览器安全策略要求视频地址使用https协议,以保护用户的隐私和安全。通过使用https协议,用户可以在浏览器中进行视频播放时,享受到更加安全的通信环境,减少数据被窃取或篡改的风险。同时,https协议的普及也全面推动了互联网安全意识的提升,鼓励网站和服务提供商采用更加安全的通信方式,保护用户数据和隐私。通过提高浏览器安全策略要求,人们在浏览网页和使用各种在线服务时能够更加安心和放心。因此,浏览器安全策略要求视频地址不能为http协议,是为了提升用户的网络安全体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值