网络安全之浏览器端的威胁要塞防御

最新推荐文章于 2024-05-16 14:47:41 发布
最新推荐文章于 2024-05-16 14:47:41 发布
阅读量394 收藏
点赞数
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/121409733
版权
本文详细介绍了30个关键步骤,用于在浏览器端加强安全防御,防范网络攻击,包括使用HTTPS、设置HSTS、安全Cookie、内容安全策略、防范XSS和CSRF等。通过这些措施,可以有效保护用户免受SSL剥离、XSS、CSRF等威胁,确保Web应用的安全性。
摘要由CSDN通过智能技术生成

浏览器端的威胁防御

1、用且仅用 HTTPS,防范网络攻击

众所周知,一个安全的应用需要对浏览器和 Web 服务器之间的所有连接进行加密。此外,建议禁用一些旧的密码套件和协议。
使用 HTTPS 时,仅加密网站的“敏感”部分是不够的。如非这样,攻击者可以截获某个未加密的 HTTP 请求,然后伪造来自服务器的响应,返回恶意内容。
幸运的是,HTTPS 目前是很容易做到的。我们可以通过 Let’s Encrypt 免费获得证书,加上 CertBot 免费续期。

继续我们的清单,下一个是 HSTS 它与 HTTPS 密切相关。

2、使用 HSTS 和预加载来保护用户免受 SSL 剥离攻击

服务器可以用 HSTS 或 Strict Transport Security header 来强制进行加密连接。它表示需要一直使用 HTTPS 连接访问网站。

HSTS 可以防止 SSL 剥离攻击。所谓的 SSL 剥离攻击也就是:网络上的攻击者截获浏览器发出的第一个 HTTP 请求(通常是未加密的),并立即伪造对该请求的回复,假装是服务器并将连接降级为明文 HTTP。

值得注意的是,HSTS 仅在用户至少成功访问了一次应用程序的情况下才能生效。为了克服这个限制,可以把我们的网站提交到 https://hstspreload.org ,这样,各浏览器便可以将我们的域名通过硬编码写入到 HSTS 列表中。

如下:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

警告:

在实施 HSTS 时,将会强制进出该网站的所有网络请求均被加密,如果网站请求中仍然有纯文本,可能无法访问。所以,先设置一个小的 max-age 参数进行调试,如果一切正常工作,再加大这个值。调试成功后再加上预加载 (preload) ,把开启预加载保留在最后一步,因为关闭它是件很麻烦和痛苦的事情。

3、设置安全 Cookie,保护用户免受网络攻击

给 Cookie 加上 Secure 属性。此属性将防止 Cookie 在(意外或强制的)未加密的连接中泄漏。

Set-Cookie: foo=bar; ...other options... Secure

4、安全生成 HTML 以避免 XSS 漏洞

要避免 XSS(跨站点脚本)漏洞,可以采用下面两种方法:

  1. 完全静态的网站(例如 JavaScript SPA + 后端API)。避免生成 HTML 问题的最有效方法是根本不生成HTML,如前述方法,当然,也可以试试很酷的 NexJS。

  2. 模板引擎。针对传统的 Web 应用程序,其中的 HTML 大多是在后端服务器上根据提供参数动态生成的。这种情况下,不要通过字符串连接来创建 HTML 。推荐的做法是使用模板引擎,比如 PHP 语言的 Twig、Java 语言的 Thymeleaf、Python 语言的 Jinja2 等等。
    ① 2000多本网络安全系列电子书
    ② 网络安全标准题库资料
    ③ 项目源码
    ④ 网络安全基础入门、Linux、web安全、攻防方面的视频
    ⑤ 网络安全学习路线图
    【点击这里】

此外,务必要正确配置模板引擎,从而可以自动对参数进行编码,并且不要使用任何可以绕过这种编码的“不安全”函数。不要把 HTML 放在回调函数、属性(不带引号)或 href/src 等诸如此类的地方。

5、安全使用 JavaScript 以避免 XSS 漏洞

要避免 JavaScript 端的 XSS(跨站点脚本)漏洞,切忌将不受信任的数据传递到可执行代码的函数或属性中。这类常见的函数或属性包括:

  • eval、setTimeout、setInterval 等。

  • innerHTML࿰

最低0.47元/天 解锁文章
网安溦寀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
webappsec-clear-site-data:WebAppSec清除站点数据
05-10
解释器:清除站点数据 问题 开发人员希望能够控制与他们的来源相关的数据,这些数据由用户的浏览器代表他们本地存储。 尤其是,开发人员希望采取合理的措施,通过确保在不再需要某些特定类型的数据(例如,退出应用程序或删除帐户)时从用户的本地计算机上删除某些类型的数据,来保护用户免受本地攻击者的侵害)。 开发人员可以直接访问多种存储机制,从而可以从JavaScript执行这种清除。 window.localStorage ,例如,很容易处理一个简单的调用window.localStorage.clear() 其他存储机制比较棘手。 例如,Cookies是跨域存在的,可能无法被JavaScript访问,并且可能具有路径限制,这使得它们很难枚举。 浏览器的各种缓存是故意不透明的,因此更难以戳破。 如果浏览器为开发人员提供一种机制,使他们能够删除其应用程序负责维护的数据,那就太好了。 理想情况下,开发
让您的IE浏览器抵御网络威胁
quanshuiwuxiang的专栏
01-30 622
让您的IE浏览器抵御网络威胁 摘自:http://windows.chinaitlab.com/strategy/768286.html     技术难度:Windows高级应用     适用人群:家庭用户、企业用户,特别是经常使用隶属于Administrators组(系统管理员组)登陆系统并使用IE访问互联网的高风险用户。     适用系统:Microsoft Windows
uniapp本地运行在浏览器端,报跨域错误
weixin_43111269的博客
05-16 230
uniapp运行浏览器,跨域
form标签的action属性怎么用?form标签action属性的用法介绍(附实例)
热门推荐
lin123_00的博客
05-28 6万+
本篇文章主要的介绍了关于HTML中form标签action属性的用法介绍和实例,还有关于form标签的action属性的定义和语法介绍,最后徐还有关于form标签的action属性的作用解释。现在让我们一起来看吧。 打造全网web前端全栈资料库(总目录)看完学的更快,掌握的更加牢固,你值得拥有(持续更新) 我们先来介绍HTML中form标签的action属性的含义: action属性规定当提交表单时,向何处发送表单数据。(是必需的属性) 属性值的介绍:(看图) 熟悉了action属性的含义和语
web安全防护的一些方法
focus on security
06-03 1132
使用不同的CSRF防御策略。 • 登陆CSRF。我们建议使用严格的Referer验证策略来防御登陆CSRF,因为登陆的表单一般都是通过HTTPS发送,在合法请求里面的Referer都是真实可靠的。如果碰到没有Referer字段的登陆请求,那么网站应该直接拒绝以防御这种恶意的修改。 • HTTPS。对于那些专门使用HTTPS协议的网站,比如银行类,我们也建议使用严格的Referer验证策略来防御CSRF攻击。对于那些有特定跨站需求的请求,网站应该建立一份白名单,比如主页等。 • 第三方...
内容安全策略 (CSP)
allway2的博客
09-05 6293
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
df_everywhere:通过浏览器远程播放矮人要塞
04-29
浏览器中播放矮人要塞。 DF Everywhere是一项Web服务,使您可以从拥有浏览器的任何位置控制自己的“矮人要塞”游戏。 连接的分离性质允许常规Dwarf Fortress游戏中无法使用的某些选项: 从另一台计算机控制游戏–...
赤色要塞.rar经典FC游戏
03-09
《赤色要塞》是一款经典的8位FC(Family Computer,即任天堂红白机)游戏,深受玩家喜爱。这款游戏在1980年代末期推出,由日本的KONAMI公司开发,以其独特的游戏机制、丰富的关卡设计和紧张刺激的战斗体验闻名。 ...
FC赤色要塞NES文件
06-20
FC赤色要塞NES文件
Java版赤色要塞源码分析
08-09
《Java版赤色要塞源码分析》 在IT领域,源码分析是提升技能、理解软件设计思想的重要途径。本篇文章将聚焦于一个Java版本的"赤色要塞"游戏源码,通过深入探讨其设计与实现,帮助读者更好地理解和掌握Java编程以及...
Java版赤色要塞
08-09
【标题】"Java版赤色要塞" 指的是一项使用Java编程语言重新实现经典游戏"赤色要塞"的项目。这个项目可能是为了学习和实践Java编程、游戏开发或者重温经典游戏的乐趣。在Java中开发游戏可以利用Java的跨平台特性,...
CSP-内容安全策略
07-27 575
Content-Security-Policy 限制资源获取 报告资源获取越权 default-src 限制全局 指定资源类型限制(connect-src/img-src/script-src/style-src/media-src...) 常用限制 1.限制inline-script(html行内js)与其他域的script引入 2.限制外部地址跳转,form-action 3.等等 ...
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2046
Spring Security漏洞防护—HTTP 安全响应头
Clear Site Data - 可以清除单个站点缓存的浏览器插件
小元分享
08-01 226
正如文章开头说的那样,我们只是想清除单个站点的缓存!首先我们访问对应网站,然后点开插件,此时就会出现清除当前站点的选项,双击“Clear Site Data”即可清除当前站点的所有缓存。今天要分享的是一款Chrome浏览器插件——“Clear Site Data”,顾名思义它可以帮我们单独清除某一个站点的缓存。安装完成后,点开插件,长这个样子。
运维(17) OHTTPS配置免费证书及宝塔网站管理配置
郑清
01-05 2140
文章目录一、前言二、OHTTPS配置免费证书1、创建证书2、域名解析配置3、验证解析记录4、查看证书三、宝塔网站管理配置1、添加站点2、3、 一、前言 本文将通过OHTTPS来配置免费的https证书,以及通过宝塔来安装nginx部署网站并使用https访问网站 tips: 本文仅是简单记录下操作流程^_^ 二、OHTTPS配置免费证书 https://ohttps.com 1、创建证书 这里主要是在域名解析中配置下这里获取的主机记录和记录值 2、域名解析配置 小编举例在阿里云上如下配置即可
Web 应用程序安全检查表
allway2的博客
09-05 1540
避免在文件路径中使用不受信任的数据,或者更好的是,完全避免使用文件系统,而更喜欢例如云存储。如果您的用户已登录并在另一个网站上打开指向该应用程序的链接,则打开的选项卡/窗口将不会为用户登录。任何网站都可以打开与您的应用程序的 WebSocket 连接,如果您使用基于 cookie 的身份验证,则可以访问登录用户的信息。攻击,即网络上的攻击者拦截浏览器发出的第一个 HTTP 请求(通常是未加密的)并立即伪造对该未加密 HTTP 请求的回复,假装是服务器并降级从那时起与截获的明文 HTTP 的连接。
Web和java代码安全问题
baby_you_Know的博客
11-27 493
扫描所用工具 APPSCAN web扫描工具 Fortify java扫描工具 1登录后要清掉session和cookie 实现 //清除掉以前的session request.getSession(true).invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0...
清除浏览器缓存之后为什么还是显示旧的html页面_Web缓存控制策略详解
weixin_39720807的博客
12-03 1483
管理Web缓存的最常用和最有效的方法之一是通过Cache-Control HTTP标头,由于此标头适用于Web页面的缓存,这意味着我们页面上的所有内容都可以具有非常精细化的缓存策略。通过各种自定义策略,我们控制的策略就可以变得非常复杂和强大。Cache-Control管理Web缓存的最常用和最有效的方法之一是通过Cache-Control HTTP标头,由于此标头适用于Web页面的缓存,这意味着我...
解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
青春木鱼的博客
01-16 5万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
centos安装矮人要塞
最新发布
07-24
3. **安全措施**:自行构建的游戏可能包含未发现的漏洞或风险,务必谨慎操作。 通过以上步骤,你可以在 CentOS 系统上成功安装并玩起《Dwarf Fortress》,享受这款复杂而深度的战略游戏带来的乐趣。记得定期检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值