摘要:
1.信任与信任关系 其实安全的攻防都是围绕“信任”进行的。同源策略也是信任的一种表现,默认情况下,不同源则不信任,即不存在什么信任关系。如果网站与网站之间过于信任,没有做好权限分离的话,那么整体的安全性就由安全性最差的囊而网站决定。如果嵌入了第三方的脚本,很有可能危及到访问你的网站。这种信任关系很普遍,服务器与服务器,网站与网站,Web服务的不同子域,Web层面与浏览器第三方插件,Web层面与浏览器特殊API,浏览器特殊API与本地文件系统,嵌入的FLASH与当前DOM树,不同协议之间等等。一个安全性非常好的网站很有可能会因为建立了不可靠的信任关系导致网站被黑。2.社会工程学的作用 社会工程学 阅读全文
摘要:
浏览器不仅能呈现画面,它还制定了一些安全策略,这些策略有效地保障了用户计算机的本地安全与Web安全。 同源策略:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源;1.不同域或同域,同域要求两个站点同协议,同域名,同端口 2.客户端脚本主要指Javascript与Actionscript都遵循的ECMAScript脚本标准,Flash提供的通信接口,使得这两个脚本语言可以很方便地互相通信。客户端的攻击几乎都是基于这两个脚本语言进行的,当然JavaScript 是最广泛的。 3.授权一般情况下,看到这个词,我们往往会想到服务端对客户端访问的授权。客户端也存在授权现象,比如,HTML5新. 阅读全文