摘要:作為一個(gè)開(kāi)發(fā)人員���,瀏覽器安全是不可或缺的知識(shí)�����。的定義非常靈活����,比如表示瀏覽器將信任及其子域名下的內(nèi)容小結(jié)瀏覽器的安全以同源策略為基礎(chǔ)����,加深理解同源策略,才能把握住瀏覽器安全的本質(zhì)��。
作為一個(gè)web開(kāi)發(fā)人員���,瀏覽器安全是不可或缺的知識(shí)�。一方面,瀏覽器天生就是一個(gè)客戶端����,如果具備了安全功能,就可以像安全軟件一樣對(duì)用戶上網(wǎng)起到很好的保護(hù)作用�����;另一方面����,瀏覽器安全也成為瀏覽器廠商之間競(jìng)爭(zhēng)的一張底牌��,瀏覽器廠商希望能夠針對(duì)安全簡(jiǎn)歷技術(shù)門檻���,已獲得競(jìng)爭(zhēng)優(yōu)勢(shì)��。
本文將給大家介紹一下瀏覽器的安全功能
同源策略
同源策略(Same origin policy)是一種約定���,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略�����,則瀏覽器的正常功能可能都會(huì)受到影響?����?梢哉f(shuō)Web是構(gòu)建在同源策略基礎(chǔ)之上的����,瀏覽器只是針對(duì)同源策略的一種實(shí)現(xiàn)。
瀏覽器的同源策略�,限制了來(lái)自不同源的“document”或腳本,對(duì)當(dāng)前“document”讀取或設(shè)置某些屬性���。
這一策略非常重要����,瀏覽器提出了“Origin”(源)這一概念���,限制了來(lái)自不同Origin的對(duì)象無(wú)法互相干擾���。例如,瀏覽器打開(kāi)兩個(gè) tab 頁(yè) A.html, B.html, A 頁(yè)面的腳本是無(wú)法隨意修改 B 頁(yè)面的����。
對(duì)于 Javascript 來(lái)說(shuō)�,影響“源”的因素有: host����,子域名,端口���,協(xié)議��。
需要注意的是�,對(duì)于當(dāng)前頁(yè)面來(lái)說(shuō)���,頁(yè)面內(nèi)存放 Javascript 文件的域并不重要��,重要的是加載 Javascript 的域是什么
換言之,a.com 通過(guò)以下代碼
加載了 b.com 上的 b.js��,但是 b.js 是運(yùn)行在 a.com 頁(yè)面中的�,因此對(duì)于當(dāng)前打開(kāi)的頁(yè)面(a.com 頁(yè)面)來(lái)說(shuō),b.js 的 Origin 應(yīng)該是 a.com 而不是 b.com�����。
在瀏覽器中,
因此網(wǎng)站在使用了 EV SSL 證書后,可以教育用戶識(shí)別真實(shí)網(wǎng)址在瀏覽器地址欄中的“綠色”表現(xiàn)����,以對(duì)抗釣魚(yú)網(wǎng)站�。
廠商的行動(dòng)
為了在安全領(lǐng)域獲得競(jìng)爭(zhēng)力,微軟率先在 IE8 中推出了 XSS Filter 功能���,利用對(duì)抗反射型 XSS�,微軟率先推出這一功能���,使得IE8在安全領(lǐng)域極具特色��。
當(dāng)用戶訪問(wèn)的 URL 中包含了 XSS 攻擊腳本時(shí)����,IE 就會(huì)修改其中關(guān)鍵字符使得攻擊無(wú)法完成����,并對(duì)用戶彈出提示�����。
Firefox 也不敢其后����,在 Firefox 4 推出了 Content Security Policy(CSP)��,其做法是使用服務(wù)器返回的 X-Content-Security-Policy 頭部來(lái)告訴頁(yè)面應(yīng)該遵守的規(guī)則�。
X-Content-Security-Policy: policy
policy 的定義非常靈活,比如:allow "self" *.mydomain.com 表示瀏覽器將信任 my domain.com 及其子域名下的內(nèi)容
小結(jié)
瀏覽器的安全以同源策略為基礎(chǔ)���,加深理解同源策略��,才能把握住瀏覽器安全的本質(zhì)�。
參考文獻(xiàn)
1.ie8 filter
Content Security Policy
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/107875.html
