WEB安全之浏览器安全机制

最新推荐文章于 2024-05-08 12:21:37 发布
最新推荐文章于 2024-05-08 12:21:37 发布
阅读量551 收藏
点赞数
文章标签: web安全
原文链接:https://segmentfault.com/a/1190000015555712
版权
WEB 安全是互联网时代重点关注的问题,也是产品设计中必须考虑的一部分。作为一个开发人员,有义务和责任打造安全可靠的 WEB 应用供用户使用,保证用户数据的机密性,完整性以及服务的可用性。

浏览器的同源策略

浏览器以协议头、域名、端口的组合标识一个页面的源。两个页面访问的协议头、域名及端口都相同,称两个页面具有相同的源。
下表列出与http://store.company.com/dir/page.html进行同源检测的结果:

页面地址检测结果原因
http://store.company.com/dir2...成功
http://store.company.com/dir/...成功
https://store.company.com/sec...失败协议差异(https/http)
http://store.company.com:81/dir/etc.html失败端口差异(81/80)
http://news.company.com/dir/o...失败子域名差异(news/store)
同源策略下的资源访问

跨源页面之间使用 XMLHttpRequest 和 Fetch API 请求数据,通过<img>,<link><script>等 HTML 标签引用资源,这里统称为资源访问,都将受到浏览器的同源策略的控制。跨源资源访问时,不同的交互方式默认有不同的浏览器限制:

  • 跨域写,例如表单数据提交至其他源,浏览器默认允许。
  • 跨域嵌入,例如<img src="..." />,<iframe src="..."/><script src="..." />等标签引入其他源资源,浏览器默认是允许的。
  • 跨域读,例如通过 ajax 请求获取其他源返回数据,浏览器默认是禁止的。
同源策略下的存储访问

浏览器最初使用 cookie 作为本地存储,H5新增 LocalStorage 和 IndexedDB 的存储方式。
浏览器通过检测 cookie 的 domain 属性控制源,例如有 cookie: key=hello 的 domain 设为.jaylin.wanglocal.jaylin.wang,www.jaylin.wang,jaylin.wang均可访问,有 cookie: key2=world 的 domain 设置为local.jaylin.wang, 则只有local.jaylin.wang可访问。cookie 的 httpOnly 属性可控制cookie只能在服务端读取。

local.jaylin.wang cookie信息

jaylin.wang cookie信息

LocalStorage 和 IndexedDB 会根据不同源相互独立,数据的写入和读取都是针对当前源的存储,目前浏览器没有提供跨源读写的支持。

可改变的同源策略

浏览器默认的同源策略机制下,也为开发者提供了改变的机制,列出常用的几种方式:

  • domain setting

在一个页面中,通过设置 document.domain 的值,可以将子域名的源设置为父级域名。

  • CSP(Content Security Policy)

浏览器支持通过Content-Security-Policy响应头限制内容来源,确保加载内容的可信度。这个机制可以减少 XSS 攻击,

  • CORS(Cross-Origin Resource Sharing)

浏览器支持 CORS 配置可信的跨域读资源,以适应WEB应用扩展的需求。

恶意站点检测机制

用户在使用浏览器浏览网页的过程中,不乏有恶意网站给用户带来潜在的安全问题。常见的恶意网站有以下几类:

  • 欺骗性网站
    欺骗性网站又被称为钓鱼网站,伪装成合法网站,诱导用户操作,从而窃取用户的隐私信息。
  • 攻击性网站
    网站中包含恶意脚本,能够控制访问用户浏览器,窃取用户信息,引导用户进行高危操作。
  • 恶意软件
    软件携带病毒,可能导致计算机被攻击的危险软件。

浏览器通常会维护一份被举报和恶意网站列表,检测用户将要访问的目标网站存在于站点列表中,则提示警告信息以阻止用户的继续访问。

weixin_34080903
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全认证机制知多少
seaboat——a free boat on the sea.(公众号:远洋号)
05-07 1万+
如今web服务随处可见,成千上万的web程序被部署到公网上供用户访问,有些系统只针对指定用户开放,属于安全级别较高的web应用,他们需要有一种认证机制以保护系统资源的安全,本文将探讨五种常用的认证机制及优缺点。Basic模式HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会话中记录相关信息,客户端每次访问
白帽子讲Web安全--第二章 浏览器安全
encrypted_999的博客
12-12 208
白帽子讲Web安全第二章
浏览器安全——Web页面安全&浏览器网络安全(HTTPS)&浏览器系统安全
weixin_44915595的博客
12-16 5978
一、Web页面安全 同源和跨域: 同源: 页面中最基础、最核心的安全策略:同源策略(Same-origin policy)。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。 什么是同源?如果两个页面拥有相同的协议、域名和端口,那么这两个页面具有相同的源。 同源政策:是浏览器提供的一个安全功能。是为了保证用户信息的安全,防止恶意的网站窃取数据。 同源策略主要表现在 DOM、Web 数据和网络这三个层面。 第一个,DOM 层面。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM
IndexedDB解密:打开Web应用的数据存储之门
最新发布
todoitbo的博客
05-08 687
本文将深入介绍IndexedDB,这是现代Web开发中常用的本地数据库解决方案。我们将探索其特点、优势以及实际应用场景,帮助读者了解如何在Web应用中使用IndexedDB来存储和管理数据。
浏览器安全机制\ XSS
Chenamao的博客
08-02 739
浏览器安全机制\ XSS 目录 浏览器安全机制\ XSS 同源策略 SOP(sam Origin Policy) img 标签: iframe框架 AJAX: 同源策略条件 跨资源共享: HTTP头部声明 CSP(content security policy) XSS 跨站脚本攻击 (Cross Site Scripting)。 XSS漏洞的危害 Xss 漏洞的验证 XXS漏洞的分类 XXS的构造 固定会话攻击与防御 *利用XSS漏洞如何获取数据? XSS的变形:
web安全机制问题详解之一:XSS
weixin_34092455的博客
03-18 187
web安全是前端开发者们需要关注和掌握的必要内容。在写该记录之前,我也总是对安全策略这方面点到为止;但是在真正了解之后才发现,页面能安全活到现在也算是老天和后台、运维同事的关照了。
Web应用安全:主流浏览器.pptx
06-18
总的来说,这些主流浏览器在确保Web应用安全方面都采取了多种措施,包括使用先进的渲染引擎、提供安全更新、内置防护机制以及用户隐私保护策略。用户应根据自身需求选择合适的浏览器,并定期更新以获取最新的安全...
Web安全测试之XSS实例讲解
09-01
Web安全测试中的XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入并执行恶意脚本。攻击者通常利用这种漏洞来窃取用户的敏感信息,如Cookie,甚至操纵用户的浏览器行为,将...
Web编程安全.pptx
11-21
Web安全涉及一系列技术和策略,用于保护Web应用程序免受诸如跨站脚本(XSS)、SQL注入、URL操作攻击等威胁。本讲主要探讨Web系统的运行原理、URL操作攻击以及几种常见的安全问题。 1. Web系统概述 Web系统基于B/S...
web安全--project.zip
02-19
在IT领域,Web安全是一个至关重要的主题,它涵盖了保护Web应用程序和服务器免受恶意攻击的各种技术和策略。"web安全--project.zip"这个压缩包文件很可能包含了一组与Web安全相关的项目或学习材料,例如t1eexx可能是...
Web应用安全:CookieMonsterBug.pptx
06-18
Web应用安全领域中,Cookie Monster Bug是一个...因此,识别并修复Cookie Monster Bug对于保障Web应用安全至关重要,开发者需要确保正确设置Cookie的域名,而用户则需定期更新浏览器和安装的安全插件,以减少这类风险。
web 服务器安全维护,怎样保护你的web服务器,安全机制你懂多少(一)
weixin_29458017的博客
08-03 678
我们经常所说的web服务器攻击,但是却不知道该怎么使用安全机制来保护,所谓的web服务器攻击主要是指利用Web服务器软件和配置中的漏洞,那么我们来防御的话,主要是针对存在的漏洞再去搭建并且去运行web服务器,那么该怎么去保护你的web服务器呢?这是本文所要向大家进行讲解的,如果感兴趣的朋友们可以仔细的阅读一下,提升自己的系统运维知识!我们可以将Web安全分为两大类:第一:Web服务器的安全性(We...
Web Service安全机制探讨
halemyan的专栏
10-18 657
  Web Service安全机制探讨随着 Web 服务由技术概念到实践应用的不断发展,种种迹象表明Web服务将是未来应用架构的一个极为重要的模式。当 Web 服务用于试验计划和大规模生产时,拥有一种松散耦合的、与语言和平台无关的、在组织内跨企业、跨因特网链接应用程序的方法的好处正变得愈发明显。我们的客户、业界分析家和新闻界确定了当 Web 服务日益成为主流时要解决的关键问题:安全性。这篇
浏览器工作原理详解
热门推荐
dangnian的博客
03-13 3万+
这是一篇全面介绍 Webkit 和 Gecko 内部操作的入门文章,是以色列开发人员塔利·加希尔大量研究的成果。在过去的几年中,她查阅了所有公开发布的关于浏览器内部机制的数据,并花了很多时间来研读网络浏览器的源代码。她写道: 在 IE 占据 90%市场份额的年代,我们除了把浏览器当成一个“黑箱”,什么也做不了。但是现在,开放源代码的浏览器拥有了过半的市场份额,因此,是时候来揭开神秘的面纱,一探网
HTML5 进阶系列:indexedDB 数据库
weixin_33898233的博客
04-27 173
前言 在 HTML5 的本地存储中,有一种叫 indexedDB 的数据库,该数据库是一种存储在客户端本地的 NoSQL 数据库,它可以存储大量的数据。从上篇:HTML5 进阶系列:web Storage ,我们知道 web Storage 可以方便灵活的在本地存取简单数据,但是对于大量结构化存储,indexedDB 的优势就更加明显。接下来我们来看看 indexedDB 如何存储数据。 连接数据...
indexedDB 简单使用
荒唌Blog
07-03 253
IndexedDB 打造靠谱 Web 离线数据库; 前端数据库 indexedDB 简介; 简单的配置: //数据库配置 let db = { name:"mydb", //数据库名字 ver:1, //数据库版本 } //数据仓库对象(数据表) const TableName = 'myObjectStore' //暂时没有什么用处; //模式封装 const Mode = { OR:'readonly',//只读模式 } 打开数据库: //打开数据库 参数:(DbName,.
白帽子讲web安全---web浏览器安全
syf19720428的博客
08-02 2735
同源策略:限制了来自不同源的“document”或脚本,对当前的“document”读取或设置某些属性。 影响同源的因素:host(域名或ip地址),子域名,端口,协议 在浏览器中<script><img><iframe><link>都可以进行跨域加载,带有“src“的属性标签加载资源时,实际上是由浏览器发起一次GET请求。 不同于XMLHttpRequest,通过src属性加载资源时,浏览器
浏览器Web安全相关知识
welnee的博客
11-08 149
1、常见六大Web安全攻防解析 2、web安全:CSRF攻击原理以及防御 完成 CSRF 攻击必须要有三个条件: 1、用户已经登录了站点 A,并在本地记录了 cookie 2、在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。 3、站点 A 没有做任何 CSRF防御 ...
白帽子讲Web安全(一)浏览器安全
weixin_39157582的博客
08-23 818
白帽子讲Web安全(一)浏览器安全1、同源策略(1)什么是同源策略(2)同源策略的应用(3)跨域访问2、浏览器沙箱(1)背景(2)原理(3)实现(4)注意 1、同源策略 (1)什么是同源策略 同源策略/SOP 是由NetScape公司提出的一个著名的安全策略。所谓同源是指 “ 协议+域名+端口 ” 三者相同,即便两个不同的域名指向同一个ip地址,也非同源。浏览器出于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。 现在所有支持javascript的浏
Web安全深度剖析:从URL到浏览器插件的安全机制
"《Web之困》英文版是一本深入探讨Web安全的书籍,由业界专家撰写,全面解析了Web应用程序的安全问题。本书分为三个部分,详细剖析了Web的构成、浏览器安全特性以及未来可能出现的新安全特性。" 本书首先介绍了Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值