白帽子讲web安全-第二章笔记

第二章(客户端脚本安全)

  1. 同源策略:限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性

    1. 浏览器最核心最基本的安全功能
    2. 浏览器源(origin):来自不同源的对象无法互相干扰,影响源的因素有host、子域名、端口、协议
    3. 对当前页面来说,页面内存放js文件的域并不重要,重要的是加载js页面所在的域是什么。(也就是说,加载此js文件所在的域,就是这个js文件现在的orgin)
    4. 受同源策略约束的,需先检查目标网站的策略文件是否存在,再按文件中的许可范围查看发起请求的域是否被允许。
  2. 挂马:

    在网页中插入恶意代码,利用浏览器漏洞执行任意代码的攻击方式。

  3. 多进程架构:

    将浏览器各功能模块和实例分开,使其分为不同的进程,相互独立、互不影响,进程之间严格隔离。

  4. 多进程架构好处:

    多进程架构最明显的好处是:相对于单进程浏览器,在发生崩溃时,多进程浏览器只会崩溃掉当前Tab页,而单进程浏览器会崩溃掉整个浏览器进程。

  5. Sandbox沙箱:(资源隔离类模块)限制不信任网页代码运行在沙箱环境中,其代码对系统、内存等一些请求采用默认拒绝策略。如果有要求,只能通过指定的数据通道,如:通过封装的API的方式来实现。

  6. EVSSL证书:全球数字证书颁发机构与浏览器厂商一起打造的增强型证书,会在地址栏中特别标注(加绿)。

posted @ 2020-05-09 00:36  admin刍狗  阅读(153)  评论(0编辑  收藏  举报