1、同源策略
浏览器安全以同源策略为基础。
· XMLHttpRequest跨域访问标准,基于信任“JavaScript无法控制HTTP头”
以flash为例,它主要通过crossdomain.xml判断,通过检查HTTP头中的“Content-Type"来防止一些攻击通过上传crossdomain.xml文件来控制flash,绕过同源策略。
2、浏览器沙箱(Sandbox)
Chrome Chrome,第一个多进程架构浏览器。
***如今的Sandbox泛指“资源隔离类模块”。让不可信任的代码运行在一定的环境中。
IE8的多进程结构:每个Tab页是一个进程。
第三方插件有的不受Sanbox管辖。
3、恶意网址拦截
基本上基于黑名单。
PhishTank
Google SafeBrowsing API
EV SSL证书
4、浏览器安全
XSS(跨站脚本攻击)攻击没有第三方插件帮助无法控制HTTP头
IE8 XSS Filter
Firefox4 Content Security Policy(CSP) 服务器返回一个HTTP头,描述应该遵守的安全策略.CSP配置规则复杂,未推广开。
X-Content-Security-Policy: policy
拓展和插件安全。权限高于页面JavaScript。