本文探讨了JavaScript的安全性问题,包括其内置的安全限制,如禁止直接访问客户端文件、限制网络操作和窗口控制。重点介绍了同源策略,它是防止跨域数据泄露的关键,限制了脚本在不同源之间的交互。同源策略可以通过设置`document.domain`进行适当调整以实现跨域通信。同时,文章提到了跨站脚本(XSS)攻击的防范,强调了对用户提交数据进行消毒的重要性,以避免恶意脚本的注入。
本节讨论Javascript安全性问题
1.Javascript不能做什么
Javascript解释器引入到Web浏览器,意味着载入一个Web页面可能导致任意的Javascript代码在用户计算机上执行。安全的Web浏览器以各种方式限制脚本,从而防止恶意代码读取私密数据,更改数据或危及隐私。
1)Javascript针对恶意代码的第一条防线就是这种语言不支持某些功能。如,客户端的Javascript不提供任何方式来读取,写入或删除客户端计算机上的文件和目录。没有File对象,也没有文件访问函数,一个Javascript程序就无法删除用户的数据或者在用户系统中植入病毒。
2)Javascript在自己所支持的某些功能上强加限制。如,
A 客户端的Javascript可以脚本化HTTP协议来和服务器交换数据,并且它甚至可以从FTP或其它服务器下载数据,但Javascript不提供通用的网络原语,并且无法为任何主机打开一个socket或者接受一个来自其它主机的连接。
B Javascript程序可以打开一个新的窗口,但为了防止广告滥用弹出窗口,很多浏览器限制这一功能,使其只能在为了响应鼠标点击事件时才能使用它。
C 当鼠标移动到链接上时,Javascript程序无法通过设置状态行文本来使链接的目标地址变得模糊不清。(以防网络钓鱼陷阱)
D 脚本无法打开一个太小的窗口(通常一边小于100px)或者把一个窗口缩小到太小。同样,脚本也不能把窗口移出屏幕外,或者创建一个比屏幕更大的窗口,这就防止打开用户无法看到的或者可能忽略的窗口,这样的窗口可能包含继续运行的脚本而用户却以为它们已经停止了。还有,脚本无法创建一个没有标题或状态行的窗口。
E HTML
1.Javascript不能做什么
Javascript解释器引入到Web浏览器,意味着载入一个Web页面可能导致任意的Javascript代码在用户计算机上执行。安全的Web浏览器以各种方式限制脚本,从而防止恶意代码读取私密数据,更改数据或危及隐私。
1)Javascript针对恶意代码的第一条防线就是这种语言不支持某些功能。如,客户端的Javascript不提供任何方式来读取,写入或删除客户端计算机上的文件和目录。没有File对象,也没有文件访问函数,一个Javascript程序就无法删除用户的数据或者在用户系统中植入病毒。
2)Javascript在自己所支持的某些功能上强加限制。如,
A 客户端的Javascript可以脚本化HTTP协议来和服务器交换数据,并且它甚至可以从FTP或其它服务器下载数据,但Javascript不提供通用的网络原语,并且无法为任何主机打开一个socket或者接受一个来自其它主机的连接。
B Javascript程序可以打开一个新的窗口,但为了防止广告滥用弹出窗口,很多浏览器限制这一功能,使其只能在为了响应鼠标点击事件时才能使用它。
C 当鼠标移动到链接上时,Javascript程序无法通过设置状态行文本来使链接的目标地址变得模糊不清。(以防网络钓鱼陷阱)
D 脚本无法打开一个太小的窗口(通常一边小于100px)或者把一个窗口缩小到太小。同样,脚本也不能把窗口移出屏幕外,或者创建一个比屏幕更大的窗口,这就防止打开用户无法看到的或者可能忽略的窗口,这样的窗口可能包含继续运行的脚本而用户却以为它们已经停止了。还有,脚本无法创建一个没有标题或状态行的窗口。
E HTML
最低0.47元/天 解锁文章
扫一扫
728
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
