Web前端-web安全关键点
数据与指令
l 数据
i. 浏览器打开一个网站,呈现在我们面前的都是数据。
- 服务端存储的:数据库、内存、文件系统等
- 客户端存储的:本地cookies、flash cookies等
- 传输中的:JSON数据、XML数据等
- 文本数据:HTML、JavaScript、CSS等
- 多媒体数据:flash、mp3等
- 图片数据等
l 指令
i. 如何存储、传输并呈现这些数据,需要执行指令。
ii. 指令就是要执行的命令,因为指令被解释执行,产生对应的数据内容。
iii. 不同指令的解释执行,由不同的环境完成。
iv. 如:sql查询指令的解释环境为数据库引擎。
v. 如:<script>标签内的是一句JavaScript指令,由浏览器JS引擎来解释执行,解释结果就是数据。而<script>本身却是HTML指令(促成HTML标签),由浏览器DOM引擎进行渲染执行。
浏览器的同源策略
l 同源:
i. 同协议
ii. 同域名
iii. 同端口
iv. https://www.cnblogs.com/dsky/archive/2012/04/06/2434010.html
v. https://www.cnblogs.com/chaoyuehedy/p/5556557.html
l 客户端脚本:
i. JavaScript:各个浏览器原生支持的脚本语言
ii. Actionscropt:flash的脚本语言
iii. VBscript:已经被打入“冷宫”
iv. JavaScript和actionscript都遵循ECMAscript脚本标准,flash提供接口,用于两种语言通信
v. ECMAscript:https://zh.wikipedia.org/wiki/ECMAScript
vi. https://baike.baidu.com/item/ECMAScript
l 授权
i. 除了服务端对客户端的授权,客户端也存在授权的现象。
ii. AJAX:让数据在后台进行异步传输。例如:刷新局部网页,节省带宽资源。
iii. https://zh.wikipedia.org/wiki/AJAX
iv. https://www.cnblogs.com/liwenzhou/p/8718861.html
v. https://www.cnblogs.com/suoning/p/5809106.html
vi. https://www.cnblogs.com/mingmingruyuedlut/archive/2011/10/18/2216553.html
l 读写权限
i. Web上的资源,用的有读权限,有的有读+写权限
- Referrer:只读权限
- Document.cookie:读写权限
l 资源
i. 只要是数据,都可以称之为资源。
ii. 同源策略的资源指的是web客户端的资源:
- HTTP头消息
- 整个DOM树:文档对象模型
- 浏览器存储
a) Cookies
b) Flashcookies
c) Localstorage
信任和信任关系
l 不同源则不信任,即不存在信任关系
i. 木桶原理
- 例如:a站nb,b站sb,黑b站后a站也被拿下。
ii. 使用<script>标签方式嵌入第三方内容,建立信任关系,导致网站不安全。
- 这种关系很普遍:
a) 服务器与服务器
b) 网站与网站
c) Web服务的不同子域
d) Web层面与浏览器第三方插件
e) Web层面与浏览器特殊API
f) 浏览器特殊API与本地文件系统
g) 嵌入的flash与当前DOM树
h) 不同协议直间
i) 等等。。。
社会工程学的作用
l 社工:就是“骗”,即如何伪装攻击以欺骗目标用户。
l 常用辅助技巧
i. Google hack
ii. SNS垂直搜索
iii. 各种搜集的数据库合集查询
