浏览器特性与安全策略

已于 2024-03-27 17:13:47 修改
阅读量2.4k 收藏 1
点赞数 2
分类专栏: Web Security 文章标签: 浏览器特性与安全策略
于 2018-03-27 11:45:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tyro_java/article/details/79710828
版权

同源策略

同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对象的资源。

同源和异源

不同域

  • 协议不同(HTTP与HTTPS)
  • 域名不同(顶级域,www域和子域)
  • 端口不同(比如80端口和81端口)

同域

  • 多了目录,符号协议,域名,端口都相同

网页授权

通过HTTP响应头返回字段设置的,设置字段如下:Access-Controll-Allow-Origin: http://www.demo.com

沙盒框架(Sandboxed frame)

  • 是对常规<iframe>表现行为的扩展,它能让顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制

  • 通过<iframe>的参数实现限制

  • Allow-scripts :是否允许执行javascript脚本,没有则不允许
  • Allow-forms : 是否允许使用form表单,没有则不允许
  • Allow-top-navigation : 是否允许嵌入子页面控制顶级窗口的地址跳转,没有则不允许
  • Allow-same-origin : 是否允许访问同源数据,没有则不允许

Flash安全沙箱

  • 分为本地沙箱与远程沙箱
  • 类似同源策略,在同一域内的资源会被放到一个安全组下,称为安全沙箱
  • Web站点通过crossdomain.xml文件配置可以提供允许的跨域访问本域上内容的权限(放置于站点根目录)
<cross-domain-policy>
    <allow-access-form domain=".youku.com" />
</cross-domain-policy>

Cookie的安全策略

  • Domain 用于指定Cookie的有效域
  • Path 用于指定Cookie的有效URL路径
  • Secure 如果设置该属性,仅在HTTPS请求中提交Cookie
  • Http 其实是HttpOnly, 如果设置该属性,客户端javascript无法获取Cookie的值

内容安全策略 (Content Security Polity, CSP)

通过编码在HTTP响应头中的指令来实施策略

  • Content-Security-Polity:script-src 'self' https://baidu.com
  • CSP的一些指令

  • default-src : 该指令在某种资源类型指定指令没有被定义的情况下制定了所有资源类型的加载策略(即默认的资源加载策略)

  • script-src : 该指令指定了Web应用程序可以加载的脚本的域或URL

  • object-src : 该指令制定了Web应用程序可以加载的插件,如Falsh

  • style-src : 该指令制定了Web应用程序可以加载的CSS样式表的域或URL

  • img-src : 该指令指定了Web应用程序可以加载的图片的域或URL

  • media-src : 该指令指定了Web应用程序可以加载的音视频的域或URL

  • frame-src : 该指令指定了Web应用程序可以加载的框架的域或URL

  • font-src : 该指令指定了Web应用程序可以加载的字体的域或URL

  • connect-src : 该指令指定了Web应用程序可以加载的像XHR, WebSockets, 以及EventSource等脚本接口的域或URL

  • plugin-types : 该指令指定了哪些MIME类型的插件可以被加载(浏览器支持度不够)

  • form-action : 该指令指定了HTML表单可以提交的URLS(浏览器支持度不够)

  • reflected-xss : 该指令告诉浏览器开启或关闭任何用于过滤或组织反射跨站脚本攻击的启发式算法,这相当于X-XSS-Protection响应头的效果(浏览器支持度不够)

Wang's Blog
关注
专栏目录
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
7.4.4 追踪:使用浏览器特性判断用户环境 179 7.4.5 利用漏洞CVE-2014-6332发起攻击 188 7.5 本章小结 190 8 调试工具与Shellcode 191 8.1 调试工具的用法 191 8.1.1 调试符号 191 8.1.2 WinDbg的用法 192 ...
浏览器安全杀毒版
07-31
1. 恶意软件扫描:当用户访问网页或下载文件时,浏览器会与杀毒引擎进行实时交互,检查内容的安全性。如果发现可疑行为,会立即阻止或提示用户。 2. URL过滤:通过数据库更新,浏览器可以识别已知的恶意网站,并在...
浏览器的基本安全策略
05-15 738
浏览器安全—同源策略 详情请查看这篇文章:浏览器特性的同源策略及限制 浏览器沙箱机制 详情查看这篇文章:浏览器沙箱机制 恶意网址拦截 转载于:https://www.cnblogs.com/LO-ME/p/10869154.html...
http和https之浏览器安全策略
qq_42908468的博客
06-02 1736
HTML 的ifream标签里的http请求 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码
快速解决浏览器访问http或者不安全https 地址栏出现不安全或者Not secure
最新发布
ZL_1618的博客
07-11 488
在2018 年开始 google 浏览器 开始对 http 所有的网址都做出了 不安全的提示 ,如这样的话 让很多 http的网址显得很“不安全”在对外展示的时候,不禁给客户留下不好的印象解决此问题的 正规方案当然是 改成 浏览器推荐的 https ,有正规的域名,但是本方案不是本文重点,我们的重点是能够快速通过浏览器配置,屏蔽 “不安全“和 Not secure 这些看起来让人不安的因素接下来我们会分浏览器分别介绍Chrome:1、地址栏 输入 chrome://flags/
IE浏览器只能打开http协议的网站,所有https协议的网站都打不开,而且会重定向到其他页面
热门推荐
jl1134069094的博客
05-06 5万+
经查证及实践发现是由于IE浏览器的参数被更改导致的。 解决办法: 1.打开IE浏览器菜单, 2.打开IE浏览器选项, 3.选择Internet选项中的高级, 4.找到并勾选“使用TSL  1.0”和“使用SSL3.0”这两个选项,保存设置后就可以恢复正常了。 注明:也可以使用IE的“还原高级设置“按钮来解决,但这样会将IE的所有设置恢复为缺省值,部分参数
Flash player的安全限制(不能播放本地文件)
zk_2000的专栏
12-04 3068
最近在linux下开发flex,在开发的过程中遇到一个很大的问题,就是在windows下编译的能播放flv的swf文件到linux下就不能播放了。真是一头雾水呀。今天和同事试了一整天。终于找到了问题的关键。这个问题原来是由于flash的安全问题造成的。在/home/{user}/.macromedia/Flash_Player/#Security/FlashPlayerTrust目
云计算-基于多核计算的安全可靠浏览器优化技术研究与实现.pdf
07-01
【云计算-基于多核计算的安全可靠浏览器优化技术研究与实现】 随着信息技术的飞速发展,浏览器作为用户访问互联网的主要入口,其安全性与可靠性至关重要。尤其是近年来,随着微软的“黑屏事件”引发了对信息安全的...
浏览器魔术 html5安全研究 html欺骗
04-20
2. **Same-Origin Policy (SOP)**:SOP是浏览器默认的安全策略,限制了不同源的网页之间共享数据。但在某些情况下,攻击者可能会利用漏洞绕过SOP。 3. **Cross-Site Request Forgery (CSRF)**:HTML5引入的Fetch ...
移动应用内嵌浏览器恶意行为检测与分析.pdf
08-08
【移动应用内嵌浏览器恶意行为检测与分析】 ...总之,内嵌浏览器的恶意行为检测与分析是移动安全领域的重要课题。通过深入理解XPM现象,结合先进的检测技术,可以有效识别和防范这类威胁,保护用户的隐私和信息安全。
HTTPS用户无法重定向的解决方法
04-06
在HTTPS重定向过程中,当BAS DHCP用户处于前域或者是PPPoE用户处于欠费状态 时,如果用户访问网络侧,Web服务器会通过推送登录页面的方式强制用户填写认证 的用户名和密码,Web认证服务器认证通过之后,才能正常访问网络。
导入浏览器访问信任证书
02-14
现在盗版系统,新装浏览器后,访问一些网站经常提示http安全证书过期,在谷歌里,受信任机构中导入CA证书,其实它就是一个证书集合,导入后即可解决问题
Adobe Flash Player本地运行的安全策略问题
donge6825的博客
07-20 233
Q: 通过双击 sampleCode.html 在本机直接运行示范代码时出现“无法访问本地资源”类似的错误对话框,或运行后为空页面? A: 这是 Flex 安全沙箱问题,您需要按照以下步骤解决此问题: 1)在您的系统安装盘(如:C盘)中找到 C:\Users\[计算机名]\AppData\Roaming\Macromedia\Flash Player\#Security 文件夹(...
(转)flash安全策略文件
weixin_34203832的博客
03-28 121
转自:http://hi.baidu.com/haorui1130/item/d2cbbef174f0bfc6a835a21c flash 安全策略 今天搞了一天的沙箱冲突的问题,头都搞大了,不过最终还是搞定了,哈哈,现在写一些感受,顺便发泄一下现在超爽的心情flsah的安全策略做的还真是怪异,不研究一段时间还真不好掌握,网上说的flash socket端得到服务器安全策略的文章非常多,但是...
浏览器的地址栏只能输入HTTP协议的路径么?底层原理是什么?
长风破浪会有时的博客
05-22 247
具体来说,浏览器会根据协议类型来选择不同的传输协议,并在建立连接时使用相应的协议头来进行通信。使用HTTPS协议时,浏览器会先与服务器建立安全连接,然后使用加密的HTTP协议进行通信。因此,浏览器的地址栏并不只能输入HTTP协议的路径,它也可以输入其他协议的路径。当用户在浏览器的地址栏中输入一个URL时,浏览器会根据URL中的协议来决定使用哪种协议来进行数据传输。浏览器的地址栏并不只能输入HTTP协议的路径,它也可以输入其他协议的路径,例如FTP、HTTPS等。
不支持请求的安全协议_使用SSL证书https协议,完美解决谷歌Chrome浏览器“不安全”...
weixin_39973518的博客
12-01 2万+
传统的http协议,存在被监听、劫持等安全风险,故众多浏览器都已经http协议标记为“不安全”。尤其是谷歌Chrome浏览器对“不安全”的提示最为明显,360浏览器、搜狗浏览器等次之。未使用https协议的网站提示不安全该问题已经严重影响了网站访问者,对网站的信任。如不解决,就连搜索引擎收录也不是那么友好。有的流量高的网站,偶发跳转其他网站的问题,而且往往出现跳转的都是一些垃圾网站。在经过对程序作...
关于HTTPS网页不能发起HTTP协议请求(OpenSSL 生成密钥方法)
皮蛋很白的博客
01-08 5537
场景描述 当 HTTPS 协议的网站中使用了 HTTP 协议的资源,Chrome 浏览器会发出警告: # Warning: Mixed Content: The page at 'https://aaa' was loaded over HTTPS, but requested an insecure image 'http://bbb'. This content should also be served over HTTPS # 混合内容:'https://aaa' 页面已通过 HTTPS 加载,但是
EasyPlayer播放视频因流媒体协议不一致导致的无法播放问题处理
LSFQ的博客
10-19 308
chrome浏览器解决视频流协议和页面协议不一致时处理方案
现代浏览器安全研究:攻击与防御
7. **隐私安全与安全策略**:浏览器的隐私模式和安全策略旨在保护用户信息,但攻击者可能会寻找绕过这些策略的方法,如利用特性差异进行攻击。 徐少培的研究揭示了现代浏览器安全的复杂性,需要持续关注和应对新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wang's Blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值