浏览器安全

最新推荐文章于 2024-10-12 10:41:56 发布
最新推荐文章于 2024-10-12 10:41:56 发布
阅读量42 收藏
点赞数
文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jcl0318/article/details/132662150
版权

页面安全

同源策略

默认同源之间可以相互访问资源和操作DOM,不同源则会有一套限制访问的制约。

制约
DOM

限制了来自不同源的js脚本对当前DOM的读和写操作(openner、iframe等方式)

web数据

限制了来自不同源的js脚本对当前cookie、storage、DB数据的读和写操作(openner、iframe等方式)

网络

限制的通过XHR等方式向不同的源发送请求

限制XHR请求混合内容(在https站点发送http请求,XHR会报错,其他类型的资源请求主要是警告)

策略

在安全和便利之间寻找均衡,提供一定程度的控制:

页面默认可以访问第三方资源,可以通过CSP来控制

默认网络请求不可以跨域,可以通过cors控制

虽然有了CSP和CORS手段,但还是有不少安全问题,典型的是:XSS、CSRF

XSS

页面被注入恶意脚本,可以窃取用户cookie,监听用户键盘事件,修改 DOM伪装登录界面以获取用户账号密码,生成弹窗广告等

存储型XSS攻击

用户可以自定义的内容直接存储到服务器,其他用户可以直接查看该内容

应对方案:

  1. 服务器对于所有用户输入的内容,转码后再存储
  2. 客户端对于所有直接以html文档片段写入html的都要进行转码(主要是script和各种可以发起请求的标签属性:src、href等)
  3. CSP
  4. httpOnly
反射型XSS攻击

将恶意脚本拼在url中,服务器直接将恶意脚本注入html模板并返回;或者直接返回浏览器,在浏览器中由js直接写入html

应对方案:

  1. 服务器对于所有需要注入html模板的内容,转码后再注入
  2. 客户端对于所有直接以html文档片段写入html的都要进行转码(主要是script和各种可以发起请求的标签属性:src、href等)
  3. CSP
  4. httpOnly
基于DOM的XSS攻击

直接在服务器响应客户端的各个节点上(路由器,wifi,本地恶意软件等)劫持html,注入恶意脚本再返回

应对方案:

  1. CSP
  2. httpOnly
CSP功能
  1. 限制加载其他域的资源
  2. 禁止向第三方域提交数据
  3. 禁止执行内联脚本和未授权的脚本
  4. 上报机制,遇到攻击时可以快速发现
HttpOnly属性

cookie的属性,set cookie的时候加了这个标志,就表明只用于请求,js无法读取

CSRF

点击了恶意链接或者访问了恶意网站,仅仅使用服务器的漏洞和用户的登录态来进行攻击。

  1. 自动发起恶意请求(get/post)
    1. get:src、action
    2. post:action
  2. 诱导用户点击
    1. a标签的href

解决方案:

  1. cookie的SameSite属性
    1. Strict:禁止从三方站点发起的请求携带自己的cookie
    2. Lax:相对于Strict放开了从三方站点点击链接和get的form表单
    3. None:不限制
  2. 服务器验证请求源:请求头的Referer和Origin属性
  3. 在自己的网站返回csrf token,请求的时候携带上该token,就可以防止三方站点请求(没有csrf token)

系统安全

浏览器是以站点为渲染进程最小的单元。即一个页签有多个iframe,但它们不是同一个浏览上下文组的话,会分配不同的渲染进程。

避免渲染进程被攻击进而直接攻击操作系统,浏览器架构中对渲染进程进行安全沙箱隔离,即所有的访问操作系统的操作都需要通过浏览器内核(主进程、网络进程、GPU进程等),包括cookie的读写,cache的维护,网络请求,用户交互(窗口句柄的事件)。

skyoneking
关注
浏览器安全级别怎么设置,设置浏览器安全级别的方法
m0_69916115的博客
08-13 7265
浏览器作为重要的上网入口,发挥着重要作用。浏览器的功能不只是用看网页看视频,现在已经发展成为提供全方位服务的综合工具。正是这个原因,浏览器安全性受到了挑战,要想浏览器安全浏览得到保障,就要设置浏览器安全级别,那么怎么设置呢?本文将分享浏览器安全级别的设置方法,需要的朋友可以继续往下看。...
浏览器安全——Web页面安全&浏览器网络安全(HTTPS)&浏览器系统安全
weixin_44915595的博客
12-16 6116
一、Web页面安全 同源和跨域: 同源: 页面中最基础、最核心的安全策略:同源策略(Same-origin policy)。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。 什么是同源?如果两个页面拥有相同的协议、域名和端口,那么这两个页面具有相同的源。 同源政策:是浏览器提供的一个安全功能。是为了保证用户信息的安全,防止恶意的网站窃取数据。 同源策略主要表现在 DOM、Web 数据和网络这三个层面。 第一个,DOM 层面。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM
浏览器安全概述
qq_40229814的博客
01-01 2313
目的 研究浏览器安全的目的是怎样让浏览器安全 概述 一、攻击面分析 整体上分为三个大部分主体,一个是浏览器,一个是用户本机,一个是web服务器。 浏览器是中间者,作为用户与web服务器的通信媒介。 1、信息流中的威胁 信息流大体上可以分为四个过程,用户与浏览器有两个,浏览器与web服务器有两个。 浏览器与用户本机之间: 不受限制的访问 浏览器与web服务器之间: cookie等隐私信息泄露 不安全的代码运行 2、浏览器本体的结构威胁 直接访问系统资源 事件驱动的DOM操作 JS解释器缺陷 各种
浏览器实战篇----浏览器安全概述
qq_43511094的博客
01-18 5561
浏览器安全概述1. 揭秘浏览器1.1 同源策略1.2 HTTP首部1.3 标记语言HTMLXML1.4 CSS1.5 脚本JavaScriptVBScript1.6 DOM1.7 渲染引擎WebkitTridentGeckoBlink1.8 Geolocation(地理定位)1.9 Web存储1.10 跨域资源共享1.11 HTML52. 浏览器在强化防御方面的特性HTTP首部:1.内容安全策略2.安全cookie标志3.HttpOnly cookie标志4.X-Content-Type-Options5.
1.浏览器原理之浏览器安全
qq_42349528的博客
02-22 3986
浏览器安全,XSS攻击,CSRF攻击,中间人攻击
《白帽子讲web安全》第二三章学习(HTTP,Web应用、浏览器安全
2301_80951345的博客
03-14 2218
HTTP协议是一种Client-Server协议,所以只能由客户端单向发起请求,服务端再响应请求。这里的客户端也叫用户代理(User Agent),在大多数场景下是一个浏览器
不吹不黑,这5款浏览器安全无广告无弹窗,亲测好用
热门推荐
m0_69916115的博客
04-22 5万+
这款浏览器是针对政企人员开发的安全浏览器,兼容性强,无广告无弹窗。它具有智能AI防护功能,能够拦截欺诈网站,防护网络攻击,同时还具有下载检测保护功能。作为浏览器,它的界面简洁清爽,专注极速。除此之外,还有网页警示功能,会对打开的网页进行安全分析,若是网页存在安全问题,会提示用户。对于政企用户来说,保护用户的数据、信息安全,尤其重要。就冲着这个功能,给它加分。
浏览器安全思维导图
极客神殿
09-30 1049
安全思维:
网络安全(三)浏览器安全
weixin_42962634的博客
12-24 1408
近几年来随着互联网的发展,人们发展浏览器才是互联网最大的入口,绝大多数用户使用互联网的工具是浏览器。因此浏览器市场的竞争也日趋白热化。 浏览器安全在这种激烈竞争的环境中被越来越多的人所重视。一方面,浏览器天生就是一个客户端,如果具备了安全功能,就可以像安全软件一样对用户上网起到很好的保护作用;另一方面,浏览器安全也成为浏览器厂商之间竞争的一张底牌,浏览器厂商希望能够针对安全建立起技术门槛,以此获得竞争优势。
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在...
信创体系下的浏览器安全可信架构研究.pdf
09-09
《信创体系下的浏览器安全可信架构研究》这篇文章深入探讨了在信息技术创新(信创)体系背景下,如何构建安全可靠的浏览器架构以应对企业安全、自动化、移动安全等方面的挑战。文章涉及了安全实践和渗透测试等关键...
【Vue】a-radio-group单选框数字与字符串回显问题
叶为正的博客
10-08 265
根据后端接口返回数字或字符串,来配置Ant Design of Vue中a-radio-group单选框的回显问题,注意value中的取值是不一样的。
快餐食品检测系统源码分享[一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
m0_73388125的博客
10-08 1397
数据集信息展示在本研究中,我们使用了名为“burger detection”的数据集,以改进YOLOv8在快餐食品检测系统中的表现。该数据集专门针对快餐食品的多样性进行设计,涵盖了六个主要类别,分别是:bbq、bread、bun、hotdog、pattty和patty。这些类别的选择不仅反映了快餐食品的常见种类,还考虑到了它们在实际应用中的重要性,尤其是在餐饮行业的食品识别和分类任务中。数据集的构建过程经过精心设计,确保每个类别的样本数量和质量都能满足深度学习模型训练的需求。
web扩展
x737510的博客
10-10 524
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
基于Java(Jsp+Sevlet)+MySql 实现的(Web)成绩管理系统
神仙别闹的自留地
10-08 1722
如果能把负责学生成绩管理的模块独立出来形成一个独立的系统,便可以有效降低教务系统的数据量,不仅可以方便管理员对于所有学生的信息进行系统的管理,而且便于教师对学生成绩进行查询和修改,学生也可以查询自己的成绩。因此,开发一套合适的、兼容性好的系统是很有必要的。:DAO层主要是做数据持久层的工作,负责与数据库进行联络的一些任务都封装在此,DAO层的设计首先是设计DAO的接口,然后定义此接口的实现类,然后就可在模块中调用此接口来进行数据业务的处理,而不用关心此接口的具体实现类是哪个类,显得结构非常清晰。
Element-plus el-form、el-dialog 数据回显同时用时,重置失效问题
最新发布
Mr. Zhang Xiaojian's Blog
10-12 399
当第一次打开网页并点击“编辑”按钮时,虽然对话框变量变为 true 使对话框可见,但同步代码会将 formData 对象的属性设置为默认值。由于 Vue 的异步更新机制,DOM 实际上还未更新,因此表单组件内绑定了这些有值的初始数据。这样,在后续调用 resetFields 方法时,表单将会重置为这些默认值而不是空值。编辑时表单的初始值被设置成了回显的数据,而不是空字符串。时,表单会回到上次设置的初始值,即回显的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值