Web 安全
文章平均质量分 87
记录Web 安全知识
凯小默
专注前端领域开发。
展开
-
用户鉴权、JWT(JSON Web Token)是什么?
什么是用户鉴权用户鉴权,一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法。用于用户登陆到DSMP或使用数据业务时,业务网关或Portal发送此消息到DSMP,对该用户使用数据业务的合法性和有效性(状态是否为激活)进行检查。来自百度百科:用户鉴权四种鉴权的机制1、HTTP Basic Authentication这种授权方式是浏览器遵守 http 协议实现的基本授权方式,HTTP 协议进行通信的过程中,HTTP 协议定义了基本认证认证允许 HTTP 服务器对客户端进行用户身份证的原创 2021-12-22 18:41:35 · 2799 阅读 · 0 评论 -
浏览器原理 35 # HTTPS
说明浏览器工作原理与实践专栏学习笔记前言经过前面几节的学习,浏览器安全还差网络安全没有学习,之前的笔记如下:有兴趣的可以看看浏览器安全:页面安全浏览器原理 31 # 同源策略:为什么XMLHttpRequest不能跨域请求资源?浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?浏览器原理 33 # CSRF攻击:为什么Cookie中有SameSite属性?系统安全浏览器原理 34 # 安全沙箱网络安全浏览器原理 35 # HTT原创 2021-06-19 13:20:30 · 602 阅读 · 0 评论 -
浏览器原理 34 # 安全沙箱
说明浏览器工作原理与实践专栏学习笔记单进程架构的浏览器在最开始的阶段,浏览器是单进程的,这意味着渲染过程、JavaScript 执行过程、网络加载过程、UI 绘制过程和页面显示过程等都是在同一个进程中执行的。从稳定性来看:单进程架构的浏览器是不稳定的,因为只要浏览器进程中的任意一个功能出现异常都有可能影响到整个浏览器,如页面卡死、浏览器崩溃等。从安全性来看:如果浏览器被曝出存在漏洞,那么在这些漏洞没有被及时修复的情况下,黑客就有可能通过恶意的页面向浏览器中注入恶意程序。最常见的攻击方式是利用原创 2021-06-16 17:54:47 · 723 阅读 · 0 评论 -
浏览器原理 33 # CSRF攻击:为什么Cookie中有SameSite属性?
说明浏览器工作原理与实践专栏学习笔记CSRF 攻击的典型案例关于 David 的域名被盗的完整过程感兴趣的可以看看:David Airey:Google’s Gmail security failure leaves my business sabotaged比如:里面就提到谷歌 Gmail 缺陷的揭露:受害者在登录 Gmail 时访问一个页面。执行后,该页面对 Gmail 接口之一执行 multipart/form-data POST,并将过滤器注入受害者的过滤器列表。在上面的示例中,攻击者编原创 2021-06-15 20:47:43 · 791 阅读 · 1 评论 -
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
说明浏览器工作原理与实践专栏学习笔记前言支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。什么是 XSS 攻击XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。恶意脚本能做的事情:窃取 Cookie 信息监听用户行为修改 DOM在页原创 2021-06-11 20:44:30 · 1888 阅读 · 3 评论 -
浏览器原理 31 # 同源策略:为什么XMLHttpRequest不能跨域请求资源?
说明浏览器工作原理与实践专栏学习笔记前言浏览器安全可以分为三大块——Web 页面安全、浏览器网络安全和浏览器系统安全,所以本模块我们就按照这个思路来做介绍。鉴于页面安全的重要性,我们会用三篇文章来介绍该部分的知识;网络安全和系统安全则分别用一篇来介绍。...原创 2021-06-10 17:22:17 · 818 阅读 · 4 评论 -
防止网页被嵌入框架的代码(续)
说明本文转载自:阮一峰网络日志两年前,我写过一段代码,防止网页被嵌入框架(Frame)。<script type="text/javascript"> if (window!=top) // 判断当前的window对象是否是top对象 top.location.href = window.location.href; // 如果不是,将top对象的网址自动导向被嵌入网页的网址</script>这段代码是有效的。但是,有一个问题:使用后,任何人都无法再把你的网转载 2021-05-11 19:30:56 · 184 阅读 · 0 评论 -
防止网页被嵌入框架的代码
说明本文转载自:阮一峰网络日志最近,国内开始流行另一种流氓行为:使用框架(Frame),将你的网页嵌入它的网页中。比如,有一家网站号称自己是"口碑聚合门户",提供全国各个网上论坛的精华内容。但是,其实它就是用框架抓取他人的网页,然后在上面加上自己的广告和站标,这同盗版书商有何不同?!不明内情的访问者,只看到地址栏是该门户的URL,不知道真正内容部分的网页,其实来自另一个网站。为什么我反对这种做法?1)它故意屏蔽了被嵌入网页的网址,侵犯了原作者的著作权,以及访问者的知情权;2)大量业者使用的是转载 2021-05-11 19:21:19 · 370 阅读 · 0 评论 -
Content Security Policy 入门教程
说明本文转载自【阮一峰网络日志:Content Security Policy 入门教程】跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。一、简介CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提转载 2021-05-08 14:14:14 · 1289 阅读 · 0 评论