白帽子讲web安全之浏览器安全(二)同源策略

最新推荐文章于 2023-03-18 10:02:14 发布
最新推荐文章于 2023-03-18 10:02:14 发布
阅读量331 收藏
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34886247/article/details/81193770
版权

(一)同源策略:

源(Origin)

浏览器最核心最基础的安全功能,web建立在同源策略之上。

作用:限制了不同Origin之间的document和脚本,相互间不能干扰。

影响Origin的因素有host(域名或IP地址)

下方例子在a.com中加载了b.com的b.js,那么它的Origin就是a.com。

<script src = https://b.com/b.js></script>

 

以下标签不受同源策略影响可跨域请求资源。

<scritp> <img> <iframe> <link>

实际上每个带有src属性的标签都会发出一次get请求。并且浏览器会限制其js,使其不能返回读写内容。

 

(二)SandBox沙箱隔离

如果允许用户上传php,java,python这些语言代码,为了防止代码破坏系统环境,或代码间的相互干扰应该设计一个SandBox来进行隔离。

google chrome 浏览器实现了相对完整的SandBox。

 

 

 

红衣学姐
关注
专栏目录
白帽子Web安全(一)浏览器安全
weixin_39157582的博客
08-23 1000
白帽子Web安全(一)浏览器安全1、同源策略(1)什么是同源策略(2)同源策略的应用(3)跨域访问2、浏览器沙箱(1)背景(2)原理(3)实现(4)注意 1、同源策略 (1)什么是同源策略 同源策略/SOP 是由NetScape公司提出的一个著名的安全策略。所谓同源是指 “ 协议+域名+端口 ” 三者相同,即便两个不同的域名指向同一个ip地址,也非同源。浏览器出于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。 现在所有支持javascript的浏
白帽子Web安全浏览器安全
weixin_49472648的博客
03-22 4315
客户端脚本安全浏览器安全 文章目录客户端脚本安全浏览器安全前言浏览器安全功能一、同源策略(Same Origin Policy)介绍什么是同源策略?什么是源?影响源的因素同源策略作用同源策略情况分类以下三个标签允许跨域加载资源浏览器沙箱什么是沙箱?浏览器需要面对的主要威胁设计目的三、恶意网址拦截拦截方案恶意网站拦截原理四、浏览器的高速发展总结 前言 浏览器才是互联网最大的入口 浏览器天生就是一个客户端 浏览器安全功能 一、同源策略(Same Origin Policy) 介绍 同源策略是一种约定,他
白帽子(2)-浏览器安全同源策略
CPriLuke的博客
06-21 465
浏览器安全章节重点是介绍了一下浏览器安全功能,并列举了一下功能: 同源策略 同源策略(Same origin policy)限制了来自不同源的document或脚本,对当前的“document”读取或设置某些属性。 所谓同源是指:域名、协议、端口相同。 另外,同源策略又分为以下两种: DOM 同源策略:禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况,不同域名的 iframe 是限制互相访问的。 XMLHttpRequest 同源策略:禁止使用 XHR 对象向不同源的服务器地址
白帽子Web安全
云计算?
04-09 259
白帽子Web安全 吴翰清著 ISBN978-7-121-16072-1 2012年3月出版 定价:69.00元 16开 448页 宣传语:安全是互联网公司的生命,也是每一位网民的最基本需求。一位天天听到炮声的白帽子和你分享如何呵护生命,满足最基本需求。这是一本能闻到硝烟味道的书 内 容 简 介 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷...
白帽子web安全浏览器安全
hhh
02-27 8175
白帽子web安全浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名、协议、端口相同。一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏览器中的显示。 怎样算是同源? 借用书上的一个例子: 网页a.com通过一下代码加载b.com上的js文件: &gt; \&lt;script src = http://b.com/b.js &gt...
白帽子WEB安全——第章(浏览器安全
Mr__Buger的博客
07-11 254
大致看了一下浏览器安全的第一章的介绍,发现掌握相关的语言还是很有必要的,如果对WEB相关的语言并不熟悉,那就很难能够认清该漏洞的实质。主要理解一下同源策略,以及在该书出版时所存在的一些安全问题,如恶意域名检测等。另外,插件(自己在用Chrome的时候用的特别多),插件远不同于通常的WEB代码(功能),插件的出现让浏览器变成了能够实现更多、更方便的功能的集合工具(像是手机装了很多APPs)...
白帽子浏览器安全.钱文祥(带详细书签).pdf
03-08
1.6 “白帽子”与浏览器厂商的联手协作 9 1.7 全书概览 10 1.8 本章小结 12 2 浏览器中常见的安全概念 13 2.1 URL 13 2.1.1 URL的标准形式 15 2.1.2 IRI 16 2.1.3 URL的“可视化”问题——字形欺骗钓鱼攻击 ...
白帽子Web安全 读书笔记一
03-12
通过对《白帽子Web安全》这本书的部分内容的解读,我们可以看到Web安全涉及多个方面,从客户端的浏览器安全到服务端的应用安全,每一环都至关重要。理解这些基本概念和技术可以帮助我们更好地识别和防御Web安全...
白帽子Web安全(纪念版)笔记
sd517125的博客
06-07 1780
白帽子Web安全(纪念版) 只是笔记,详情请查阅吴翰清老师的《白帽子Web安全》 前言 安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少中安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。 在此书中最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,背后的思考过程。**我们不是要做一个能解决问题的方案,而是要做一个能够“漂亮的”解决问题的方案。**这是每一名优秀的安全工程师应有的追求。 第一篇 世界观安全 安全问题的本质是信任问题 因为信任关系被破坏,
读《白帽子Web安全》有感
分享与记录
01-20 1679
该博客转自hangshao.tech,之前忘记在CSDN发布了。 今天是2020.11.19,我开始了第次拜读《白帽子Web安全》。 记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…) 第一章是巨佬吴翰清述他的安全世界观。这一章了中国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质
读书笔记2:浏览器沙盒(白帽子浏览器安全)
m0_37622973的博客
09-23 261
0.基础知识 SID:当某个进程要访问某个对象的时候,只有它拥有合适的权限才能进行下一步操作,windows用SID来标识系统中执行动作的实体。是标识用户、组和计算机帐户的唯一的号码 1.是什么沙盒? 浏览器通过沙盒将代码限制在一个权限很低的范围内运行,只要攻击者不超过沙盒的限制,攻击者即使拿到了被保护进程的任意代码执行权限,也将无法执行任何程序或读取任何系统配置 2.由哪些策略构成? 受限令牌+...
浏览器崩溃_白帽子浏览器安全 PDF 下载_Java知识分享网
weixin_39965673的博客
11-14 142
相关截图:资料简介:浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在知其然的情况下也知其所以然。资料目录:目录第1篇 初探浏览...
白帽子web安全》第2章 浏览器安全
询昵的博客
05-27 232
一、同源策略 同源策略(Same Origin Policy):限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。来自不同源(Origin)的对象无法相互干扰。 影响源的因素有:host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议。 例外标签:<script>、<img>、<iframe>、<link>等标签不受同源策略的限制,因为实际上是由浏览器发起了一次GET请求。但是不同于XM..
白帽子学习笔记——浏览器安全
gam0n的博客
09-02 349
同源策略: 影响源的因素有host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议; 在浏览器中,<script>,<img>,<iframe>,<link>等标签都是可以跨域加载资源,不受同源策略影响, 这些带"src"属性的标签每次加载时,实际上是有浏览器发起一次GET请求; XMLHttpRequest通过src属...
白帽子Web安全】第浏览器安全
xtcc的博客
07-21 1431
2.这一策略极其重要,如果没有同源策略,可能a.com的一段JavaScript脚本,在b.com未曾加载此脚本时,也可以随意修改b.com的页面(在浏览器显示中)。1.目前各个浏览器的拦截恶意网址的功能是基于“黑名单”的,一般是浏览器周期性地从服务器获取一份最新的恶意网址和名单,如果用户上网时访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。需要注意的是,对于当前页面来说,页面内存放JavaScript文件的域并不重要,重要的是加载JavaScript的页面所在的域是什么。......
白帽子Web安全--第浏览器安全
encrypted_999的博客
12-12 231
白帽子Web安全
白帽子Web安全学习之浏览器
qq_44874027的博客
03-30 4025
白帽子Web安全学习笔记
web安全浏览器安全
热门推荐
柳清风的专栏
10-23 3万+
web上网通过浏览器浏览器是最大入口,这个毋庸置疑。那么怎样做到这个客户端的安全呢?同源策略这个如果是个程序员一定不会陌生,这个是浏览器最核心的也是最基本的安全功能,可以说web就是构建在同源策略的基础之上,浏览器只是针对同源策略的一种实现。 试想如果没有同源策略,A网站的js脚步可以在B网站未曾加载的时候任意修改B网站的内容,这是多么令人担忧,浏览器提出了一个origin(源)的概念,来自不同
白帽子Web安全》学习笔记
最新发布
qq_53058639的博客
03-18 423
最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道Clean Code的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Google提出了申诉,漫长的等待(1~2天对于公司的官网来说就是Money啊!)后Google放开了。
白帽子Web安全》- 吴翰清:揭示互联网安全之道
"白帽子Web安全 - 吴翰清著" 本书《白帽子Web安全》由资深安全专家吴翰清撰写,旨在帮助读者理解并应对互联网时代日益严峻的数据安全和个人隐私挑战。书中深入探讨了各种新兴的Web攻击技术,为读者揭示了Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值