浏览器安全

·  阅读 131

浏览器安全分为web页面安全、浏览器系统安全和浏览器网络安全。

在没有安全保障的web世界中,我们是没有隐私的,因此需要安全策略来保障我们的隐私和数据的安全。最基础、最核心的安全策略是同源策略。

让不同的源之间绝对隔离,是最安全的,但是这样的话,使得我们的web项目难以开发和使用,为了使web项目灵活,出让了一些安全性,出让安全性带来了安全问题,最主要的是XSS攻击和CSRF攻击。

同源策略主要表现在DOM、WEB数据和网络三个层面:

  1. DOM层面,同源的页面可以操作DOM。例如,A页面中打开同源的B页面,在B页面中如下操作,使A页面内容看不见。
let doc = opener.document;
doc.body.style.display='none';
复制代码
  1. 数据层面:同源可以操作Cookie、LocalStorage、IndexDB。
  2. 网络层面:同源策略限制了通过XMLHttpRequest等方式将站点的数据发送给不同源的站点。

目前的页面安全策略有三个特点:

  1. 页面中可以引入第三方资源,不过这也暴露了很多诸如XSS的安全问题,因此又在这种开发的基础上引入了CSP(Content-Security-Policy)来限制其自由度。
  2. 使用XMLHttpRequest和fetch都是无法直接进行跨域请求的,因此浏览器又在这种严格策略的基础上引入了跨域资源共享CORS(可以查看我的另外一篇《跨域解决方案--资源共享CORS学习笔记》。)
  3. 两个不同源的DOM是不能互相操作的,因此浏览器又实现了跨文档消息机制,让其可以比较安全的通信。(window.postMessage())

Web页面安全

XSS攻击(Cross Site Scripting)

XSS攻击的分类

主要有存储型XSS攻击、反射型XSS和基于DOM的XSS攻击三种方式来注入恶意脚本。

存储型XSS攻击和反射型XSS的区别在于服务器不会存储反射型XSS攻击的恶意脚本。

如何阻止XSS攻击?

  1. 服务器对输入脚本过滤或转码
  2. 充分利用CSP
  3. Cookie使用HttpOnly属性

CSRF攻击(Cross-site request forgrey)

CSRF攻击,就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。

CSRF攻击的方式

通常当用户点击了黑客的链接,打开黑客的页面之后,黑客有三种方式发起CSRF攻击:

  1. 自动发起GET请求
  2. 自动发起POST请求
  3. 引诱用户点击链接

和XSS攻击不同的是,CSRF攻击不需要将恶意代码注入到用户的页面中,仅仅是使用服务器的漏洞和用户的登录状态来实施攻击。

如何防范CSRF攻击?

CSRF攻击的三个必要条件:

  1. 服务器有CSRF漏洞
  2. 用户登录过目标站点,并在浏览器上保持该站点的登录状态。
  3. 需要用户打开一个第三方站点

CSRF的防范:

  1. 充分利用Cookie的SameSIte属性
  2. 利用请求头中的Referer和Origin字段验证请求的来源站点
  3. CSRF Token

浏览器系统安全--安全沙箱

浏览器网络安全--https

https并非是一个新的协议,通常http是直接和TCP通信,而https则是添加了一层安全层进行通信,然后安全层再和TCP通信。

https协议的核心在于安全层,它不会影响上面的的http协议,也不会影响下面的tcp/ip协议。

总的来说,安全层有2个主要职责:对发起http请求的数据进行加密操作和对接收到的http内容进行解密操作。

https中的安全层采用的加密方式是对称加密和非对称加密搭配使用。

使用对称加密的密钥对传输内容进行加密,再使用非对称加密的公钥对对称加密的密钥进行加密。

添加数字证书,数字证书内含有公钥。

分类:
前端
标签:
收藏成功!
已添加到「」, 点击更改