《白帽子講WEB安全》學習筆記之第2章 瀏覽器安全

標籤：安全 白帽子

第2章瀏覽器安全2.1 同源策略

同源策略是瀏覽器的安全基礎。同源策略的作用是讓"document"相互獨立。

影響“源”的因素：host(網域名稱或IP,如果是IP地址則看做一個根網域名稱)，子網域名稱，連接埠，協議。

注意：對於當前頁面來說，頁面記憶體放的javascript檔案的域並不重要，重要的是載入javascript頁面所在的域是什麼。

在瀏覽器中<script>、<iframe>、<img>、<link>等標籤都可以跨域載入資源，而不受同源策略的此案只。這些帶“src”屬性的標籤每次載入時，實際上是由瀏覽器發起了一次GET請求。不同於XMLHttpRequest的是，通過src屬性載入的資源，瀏覽器限制了javascript的許可權，使其不能讀寫返回的內容。

注意跨域訪問方案的安全基礎就是新人“javascript無法控制該HTTP頭”。

http://www.qq.com/crossdomain.xml   結果:   This XML file does not appear to have any style information associated  with it. The document tree is shown below. <cross-domain-policy> <allow-access-from domain="*.qq.com"/> <allow-access-from domain="*.gtimg.com"/> </cross-domain-policy>

 

 

2.2 瀏覽器沙箱

目前的瀏覽器多是採用多進程架構，將瀏覽器的各個功能模組分開，各個瀏覽器執行個體分開，當一個進程崩潰時，也不會影響到其他的進程。

Sandbox可以通過封裝的API訪問本地檔案系統，記憶體，資料庫，網路的請求。

瀏覽器外掛程式會編程瀏覽器安全的一個威脅來源。

2.3 惡意網址攔截

惡意網址攔截一般都是瀏覽器周期性的從指定的伺服器擷取一份最新的惡意網址黑名單。

2.4 高速發展的瀏覽器安全

很多瀏覽器外掛程式都是使用javascript編寫的,但是這些瀏覽器外掛程式的許可權比一般頁面的javascript的許可權高。

2.5 小結

瀏覽器是WEB的入口,瀏覽器的安全也左右著WEB的安全。

本文出自 “夢朝思夕” 部落格，請務必保留此出處http://qiangmzsx.blog.51cto.com/2052549/1859546

《白帽子講WEB安全》學習筆記之第2章 瀏覽器安全