-
同源策略
同源策略是浏览器最核心也是最基本的安全功能;
同源:域名、协议、端口相同;
本域脚本只能读写本域内的资源,而无法访问其他域的资源
没有同源:cookie会变得非常不安全; -
沙盒框架
-
flash安全沙箱
两条基本原则:
位于同一沙箱中的资源始终可以相互访问;
远程沙箱中的swf始终不能访问本地文件和数据
有关问题:信息泄漏、CSRF -
cookie安全策略
相关字段:
Domain:指定cookie的有效域;
Path:指定cookie的有效url;
Secure:仅在https中提交;
http: 指http only; -
CSP:内容安全策略
通过编码在HTTP响应头中的指令来实施策略 -
博客链接:
CSP的今世与未来