网络协议篇(一)
网络协议-Web安全篇
Chrome浏览器-Network的过滤器
1. 过滤器的常用功能
- 基于资源类型
- 多类型,按住Command(Mac) 或 Ctrl (Window、Linux)
- 基于访问时间
- 隐藏Data URLs
- css图片等小文件以BASE64格式嵌入HTML中,以减少HTTP请求数
- Filter输入过滤器:多个条件间以空格分隔,含义为And与
- 基于域名:domain, 可使用*通配符
- 找出所有缓存资源:is:from-cache
- 找出特定的请求方法:method
- has-response-head: 显示包含指定HTTP相应标头的资源
- larger-than: 显示较大的资源(以字节为单位)
- status-code: 匹配相应码
- scheme: 匹配HTTP或者HTTPS
- resource-type: 区别document、stylesheet、script、xhr、fetch、image、font等
2. 过滤器的使用练习
- 待定
- larger-than: 1M
- 待定
- slow 3G 刷新页面
- has-response-header: Access-Control-Allow-Origin
- has-response-header: Content-Security-Policy
- is:running 或 资源类型选择ws
增强Web安全有哪些
1. CSRF(cross site request forgery跨站点请求伪造)防御方法
2. 识别有效站点的方法
配合浏览器限制cookie
识别爬虫
- User-Agent: 识别爬虫软件
- From: 爬虫管理者邮箱
- Accept: 目标资源类型
- Referer: 来源页面,可以防盗链
3. XSS攻击(cross site script跨站脚本攻击)
概述:
- 反射型:引诱用户点击,用户点击后,触发攻击脚本
- 存储型:攻击脚本存储到数据库,访问相关页面,从数据库获取脚本进行攻击
防御:
- 富文本的事件肯定要被禁止
- 禁用输入
<script>、</script>、<a>、<a/>、<ifram>、</ifram>、<base>,<form>
- 过滤用户 CSS,检查是否有危险代码
4. 防御点击劫持
- 通过js禁止跨域iframe
- 增加X-Frame-Options头部
- deny
- sameorigin
- allow-from
5. SQL注入防御
- 预编译SQL语句,客户端提交到内容作为字符串执行,不作为语句
6. Waf防火墙
- 有透明代理、反向代理和插件模式3种工作方式
- 常用方向代理,功能丰富
7. CC攻击的防御
8. CRLF注入
概述:
- http1.1 header每行语句后都有\r\n,用来分隔语句
- 如图,通过地址栏拼接\r\n的转义 + Set-Cookie=xxx,给页面设置cookie
防御:
- 拦截地址里面的\r\n及其转义,不能将用户输入内容变成代码
