《白帽子讲WEB安全》学习笔记之第2章浏览器安全

第2章浏览器安全

2.1 同源策略

同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。

影响“源”的因素：host(域名或IP,如果是IP地址则看做一个根域名)，子域名，端口，协议。

注意：对于当前页面来说，页面内存放的javascript文件的域并不重要，重要的是加载javascript页面所在的域是什么。

在浏览器中<script>、<iframe>、<img>、<link>等标签都可以跨域加载资源，而不受同源策略的此案只。这些带“src”属性的标签每次加载时，实际上是由浏览器发起了一次GET请求。不同于XMLHttpRequest的是，通过src属性加载的资源，浏览器限制了javascript的权限，使其不能读写返回的内容。

注意跨域访问方案的安全基础就是新人“javascript无法控制该HTTP头”。

http://www.qq.com/crossdomain.xml

结果:

This XML file does not appear to have any style information associated with it. The document tree is shown below.

<cross-domain-policy>

<allow-access-from domain="*.qq.com"/>

<allow-access-from domain="*.gtimg.com"/>

</cross-domain-policy>

2.2 浏览器沙箱

目前的浏览器多是采用多进程架构，将浏览器的各个功能模块分开，各个浏览器实例分开，当一个进程崩溃时，也不会影响到其他的进程。

Sandbox可以通过封装的API访问本地文件系统，内存，数据库，网络的请求。

浏览器插件会编程浏览器安全的一个威胁来源。

2.3 恶意网址拦截

恶意网址拦截一般都是浏览器周期性的从指定的服务器获取一份最新的恶意网址黑名单。

2.4 高速发展的浏览器安全

很多浏览器插件都是使用javascript编写的,但是这些浏览器插件的权限比一般页面的javascript的权限高。

2.5 小结

浏览器是WEB的入口,浏览器的安全也左右着WEB的安全。

时间： 2024-07-29 03:38:57

《白帽子讲WEB安全》学习笔记之第2章浏览器安全的相关文章

白帽子讲Web安全--读书笔记

在安全圈子里,素有"白帽"."黑帽"一说. 黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客. 白帽子均以建设更安全的互联网为己任. 不想拿到"root"的黑客,不是好黑客.漏洞利用代码能够帮助黑客们达成这一目标.黑客们使用的漏洞利用代码,被称为"exploit".在黑客的世界里,有的黑客,精通计算机技术, 能自己挖掘漏洞,并编写 exploit:而有的黑客,则只对攻击本身感兴趣,对计算机原理和各种

《白帽子讲Web安全》笔记1-5章

由于最近公司服务器被攻击,但是公司没有安全工程师,所以自己也想了解这方面的知识,于是购买了此书,看的时候记录了一些自己认为重要的笔记.转载请注明出处:http://blog.csdn.net/cym492224103 第1章安全世界观安全评估过程资产等级划分威胁分析风险分析确认解决方案第2章浏览器安全第3章 XSS攻击反射型XSS 存储型XSS DOM Based XSS XSS钓鱼 XSS攻击平台 Flash XSS XSS防御第4章 CSRF CSRF本质 CSRF防御

读>>>>白帽子讲Web安全<<<<摘要→我推荐的一本书

<白帽子讲Web安全>吴翰清著刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下, 俗话说>>>好脑袋不如一个烂笔头<<< 还有,大家也看出来,最近我也要开始写博客了, 万事开头难嘛,先拿来那些nx点的人物的书籍来记录下, 本人文笔确实不怎么滴,思路略混乱,中学时代我的作文就是我们班的一盏亮灯,指引我们全班文笔不要向我的文笔思路靠近 ←```warn```→ 读万卷书,行万里路,以后不做宅男.加油··· 信息不等于

白帽子讲Web安全2.pdf

XSS构造技巧利用字符编码: var redirectUrl="\";alert(/XSS/);"; 本身没有XSS漏洞,但由于返回页面是GBK/GB2312编码的“%c1\”成为了一个Unicode字符,忽略掉转义字符\ %c1";alert(/XSS/);// 绕过长度限制: 很多时候产生XSS的地方会有变量长度限制,将代码藏在location.hash中,然后在其他地方调用即可 http://www.a.com/test.html#alert(1) <

白帽子讲Web安全1.pdf

第一章我的安全世界观安全是一个持续过程 6种威胁:Spoofing(伪装).Tampering(篡改).Repudiation(抵赖).InformationDisclosure(信息泄漏).Denial of Service(拒绝服务).Elevation of Privilege(提升权限) 一个优秀的安全方案需要: 有效解决问题用户体验良好高性能低耦合易于升级和扩展安全策略 Secure by Default原则(最小权限原则):白名单可通过和禁止黑名单,前者限制的范围更大更

《白帽子讲WEB安全》学习笔记之第1章我的安全世界观

第1章我的安全世界观 1.1 web安全简史 1.1.1 中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了"黑暗时代",因为互联网存在这大量的利益. 1.1.2 黑客技术的发展历程 1.1.3 web安全的兴起 web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足. 为什么要攻击Web应用,我认为主要有以下几个原因: q web应用无处不在. q 相比较与操作系统等的安全防御能力,攻破web更容易一些. q 攻击web可以来无影去无踪

[读书笔记]白帽子讲WEB安全-第二章

声明: 读书笔记是我在阅读过程中做的一些笔记,并在其中添加自己的思考.文章中会涉及到部分书籍原文内容,如有侵权,请联系告知并删除. 原文一切版权归本书作者所有,其他思考痕迹保留所有权. ======================================== 第2章浏览器安全 2.1 同源策略同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能. 浏览器的同源策略,限制了来之不同源的"document"或脚本,对当

白帽子讲Web安全

《白帽子讲Web安全》——第一篇第一章我的安全世界观

前些日子定的书单,下放给各淘宝卖家,今天来的第一本就是这本,是一个我完全陌生的领域,然而强烈的好奇心,催使我看完了第一章,其实就是个概述. 1.1 Web安全简史 exploit:黑客们使用的漏洞利用代码. Script Kids:只对攻击本身感兴趣,没有动手能力,对计算机原理和各种编程技术略知一二,因而只能编译别人的代码的黑客,即“脚本小子”. 1. Web安全的兴起 (1)SQL注入 (2)XSS (3)CSRF http://blog.csdn.net/dyllove98/article/

《白帽子讲WEB安全》学习笔记之第2章 浏览器安全