浏览器的安全策略:
1.同源策略
2.多进程架构
3.拦截恶意网址,基于“黑名单”
4.支持EV SSL证书
同源策略是浏览器最核心也最基本的安全功能。域名、端口、http协议
浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读 取或设置某些属性。
在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以跨域加载资源,而不受同 源策略的限制。这些带“src”属性的标签每次加载时,实际上是由浏览器发起了一次 GET 请 求。不同于 ⅩMLHttpRequest 的是,通过 src 属性加载的资源,浏览器限制了 JavaScript 的权限, 使其不能读、写返回的内容。
多进程架构浏览器是指当发生崩溃时,只是Tab页发生崩溃。
目前各个浏览器的拦截恶意网址的功能都是 基于“黑名单”的。
常见的恶意网址分为两类:一类是挂马网站,这些网站通常包含有恶意的脚本如 JavaScript 或 Flash,通过利用浏览器的漏洞(包括一些插件、控件漏洞)执行 shellcode,在用户电脑中 植入木马;另一类是钓鱼网站,通过模仿知名网站的相似页面来欺骗用户。
恶意网址拦截的工作原理很简单,一般都是浏览器周期性地从服务器端获取一份最新的恶 意网址黑名单,如果用户上网时访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。
PS:PhishTank 是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志 愿者提供,且更新频繁。
主流浏览器都开始支持EⅤ SSL证书(Extended Ⅴalidation SSL Certificate),以增强对安全网站的识别。