浏览器安全
同源策略
- 浏览器最核心、最基本的安全功能
- 同源——域名、协议、端口相同
- 不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源
作用
避免造成页面混乱以及破坏、数据窃取等不安全行为(前端跨域安全)
内容安全策略(CSP)
历史
英文全称Content-Security-Policy,由Robert hanson提出
由服务器端(http响应)返回一个HTTP头,并在其中描述页面应该遵守的安全策略
内容
- 以白名单形式配置可信任的内容来源
- 在网页中使白名单中的内容正常执行(包含JS,CSS,Image等)
- 非白名单内的内容无法正常执行,从而减少跨站脚本攻击(XSS)
- 减少运营商劫持的内容注入攻击
沙箱机制
目的
让不可信的代码运行在一定的环境中,从而限制这些代码访问隔离区之外的资源
如果必须要访问隔离区外的资源,就必须通过指定的通道,这些通道会进行严格的安全检查,来判断访问的合法性
通道会采取默认拒绝的策略,一般采用封装API的方式实现