浏览器的安全机制\ XSS
目录
XSS 跨站脚本攻击 (Cross Site Scripting)。
同源策略 SOP(sam Origin Policy)
同源策略就是浏览器对 JavaScript 进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。
浏览器可以同时处理多个网站内容,典型方法:
☺ <img src = ‘ ’>
☺ iframe 框架
☺ AJAX
img 标签:
定义和用法:
img 元素向网页中嵌入一幅图像。 请注意,从技术上讲,<img> 标签并不会在网页中插入图像,而是从网页上链接图像。<img> 标签创建的是被引用图像的占位空间。 <img> 标签有两个必需的属性:src 属性 和 alt 属性。
img> 标签的 src 属性是必需的。它的值是图像文件的 URL,也就是引用该图像的文件的的绝对路径或相对路径。
alt 属性是一个必需的属性,它规定在图像无法显示时的替代文本。
假设由于下列原因用户无法查看图像,alt 属性可以为图像提供替代的信息:
(网速太慢src 属性中的错误浏览器禁用图像用户使用的是屏幕阅读器)
<img> 标签的 alt 属性指定了替代文本,用于在图像无法显示或者用户禁用图像显示时,代替图像显示在浏览器中的内容。
iframe框架
用于在网页内显示网页。
添加 iframe 的语法
<iframe src="URL"></iframe>
注:URL 指向隔离页面的位置。
AJAX:
AJAX = 异步 JavaScript 和 XML。
JAX 是一种用于创建快速动态网页的技术。
通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。
传统的网页(不使用 AJAX)如果需要更新内容,必需重载整个网页面。
有很多使用 AJAX 的应用程序案例:新浪微博、Google 地图、开心网等等。
同源策略条件
如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。
- URL的主机(FQDN:Fully Qualified Domain Name,全称域名)一致
- Schema 一致
- 端口号一致
跨资源共享:
解决JS跨域访问的问题
跨域资源共享,CORS (cross-orgin sharing standard)
HTTP头部声明
CORS 标准新增了一组HTTP头部字段,允许服务器声明哪些源站通过浏览器访问哪些资源。
CSP(content security policy)
内容安全策略
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污