当前位置：首页 > news >正文

网站建设 sql 模版/网页推广方案

news 文章来源：https://blog.csdn.net/uuzeray/article/details/135432071 2025/2/23 2:04:53

网站建设 sql 模版,网页推广方案,北京市通信管理局网站备案,建筑公司名称大全目录第二篇客户端脚本安全第2章浏览器安全 2.1同源策略 2.2浏览器沙箱 2.3恶意网址拦截 2.4高速发展的浏览器安全第二篇客户端脚本安全第2章浏览器安全近年来随着互联网的发展，人们发现浏览器才是互联网最大的入口，绝大多数用户使用互联…

第二篇客户端脚本安全

第2章浏览器安全

2.1同源策略

2.2浏览器沙箱

2.3恶意网址拦截

2.4高速发展的浏览器安全

第二篇客户端脚本安全

第2章浏览器安全

近年来随着互联网的发展，人们发现浏览器才是互联网最大的入口，绝大多数用户使用互联网的工具是浏览器。（颇具年代感的开卷语）

“浏览器天生就是一个客户端。”

2.1同源策略

浏览器出于安全考虑，对同源请求放行，对异源请求限制，这些限制规则统称为同源策略。

浏览器对标签发出的跨域请求轻微限制，对AJAX发出的跨域请求严厉限制。

对于客户端web安全的学习与研究来说，深入理解同源策略非常重要，是后续学习的基础。

浏览器的同源策略，限制了来自不同源的“document”或脚本，对当前“document”读取或设置某些属性。

影响“源”的因素有：host（域名或IP地址，如果是IP地址则看作一个根域名）、子域名、端口、协议。

XMLHttpRequest受到同源策略的约束，不能跨域访问资源，在AJAX应用的开发中尤其需要注意这一点。如果XMLHttpRequest能够跨域访问资源，则可能会导致一些敏感数据泄露，比如CSRF的token，从而导致发生安全问题。

在浏览器中，<script>、<img>、<iframe>、<link>、<form>、<audio>、<video>等标签都可以跨域加载资源，而不受同源策略的限制。这些带“src”属性加载的资源，浏览器限制了js的权限，使其不能读、写返回的内容。

2.2浏览器沙箱

在网页中植入一段恶意代码，利用浏览器漏洞执行任意代码的攻击方式，在黑客圈子里被称为“挂马”。“挂马”是浏览器需要面对的一个主要威胁。

以下是一个简单的例子来说明挂马和XSS的区别：

假设有一个网站，其中有一个留言板功能，用户可以在上面留言。攻击者想要攻击使用该网站的用户，他们可以通过以下方式进行攻击：

挂马攻击：攻击者入侵该网站的后台，将恶意代码植入到留言板页面中。当用户访问留言板页面时，恶意代码会自动执行，从而攻击用户的计算机或移动设备。
XSS攻击：攻击者在留言板上留下一个恶意脚本，当其他用户访问该留言板页面时，恶意脚本会在其浏览器中执行。恶意脚本可能会窃取用户的会话信息等。

Sandbox即沙箱，计算机技术发展到今天，Sandbox已经成为泛指“资源隔离类模块”的代名词。Sandbox的设计目的一般是为了让不可信任的代码运行在一定的环境中，限制不可信任的代码访问隔离区外的资源。如果一定要跨越Sandbox边界产生数据交换，则只能通过指定的数据通道，比如经过封装的API来完成，在这些API中会严格检查请求的合理性。

2.3恶意网址拦截

恶意网址拦截的工作原理很简单，一般都是浏览器周期性地从服务器端获取一份最新的恶意网址黑名单，如果用户上网时访问的网址存在于此黑名单中，浏览器就会弹出一个警告页面。

常见的恶意网址分为两类：一类是挂马网站，这些网站通常包含有恶意脚本，在用户电脑中植入木马；另一类是钓鱼网站，通过模仿知名网站的相似页面来欺骗用户。

2.4高速发展的浏览器安全

微软在IE8中推出了XSS Filter功能，用以对抗反射型XSS。当用户访问的URL中包含了XSS攻击的脚本时，IE就会修改其中的关键字符使得攻击无法成功完成，并对用户弹出提示框。

Firefox推出了Content Security Policy(CSP)。这一策略做法时由服务器端返回一个http头，并在其中描述页面应该遵守的安全策略。（这种自定义的语法必须由浏览器支持并实现）

除了这些安全功能外，浏览器的用户体验也越来越好，随之而来的是许多标准定义之外的“友好”功能（如畸形URL修正），但很多程序员并不知道这些新功能，从而可能导致一些安全隐患。

浏览器加载的插件也是浏览器安全需要考虑的一个问题，扩展和插件极大地丰富浏览器功能，除了插件可能存在漏洞外，插件本身也可能会有恶意行为。扩展和插件的权限都高于页面js的权限，比如可以进行一些跨域网络请求等。

网站建设 sql 模版/网页推广方案

第二篇客户端脚本安全

第2章浏览器安全

2.1同源策略

2.2浏览器沙箱

2.3恶意网址拦截

2.4高速发展的浏览器安全

相关文章：

【读书笔记】《白帽子讲web安全》浏览器安全

海外服务器2核2G/4G/8G和4核8G配置16M公网带宽优惠价格表

Linux 编译安装 Nginx

Oracle文件自动“减肥”记

【csharp】抽象类与接口有哪些不同？什么时候应该使用抽象类？

最新-mybatis-plus 3.5分页插件配置

案例098:基于微信小程序的电子购物系统的设计与实现

亚信安慧AntDB数据库：数字化时代的数据库创新引领者

【MySQL】关于日期转换的方法

Ubuntu 虚拟机挂接 Windows 目录

机器学习模型可解释性的结果分析

静态网页设计——环保网（HTML+CSS+JavaScript）(dw、sublime Text、webstorm、HBuilder X)

【HarmonyOS】装饰器下的状态管理与页面路由跳转实现

学习笔记——C++中数据的输入 cin

Filter Options in Select Field

【React系列】Hook（二）高级使用

编程笔记 html5cssjs 018 HTML颜色

C++_继承

Java-IO流-15

java中使用redis

Mongodb的可重试读操作

2024年1月2日-1月7日（ue5底层渲染+ue arpg+项目需求）

MySQL中的视图和触发器

uView-UI v2.x常见问题整理

MBTI职业性格测试 28题（免费版）

Springcloud 微服务实战笔记 Ribbon

CSS基础笔记-04cascade-specificity-inheritance

Spring应用的部署与管理

B端产品经理学习-需求挖掘

整数规划基本原理

第二篇 客户端脚本安全

第2章 浏览器安全

2.1同源策略

2.2浏览器沙箱

2.3恶意网址拦截

2.4高速发展的浏览器安全

相关文章：

第二篇客户端脚本安全

第2章浏览器安全