其他分享
首页 > 其他分享> > 「浏览器安全」你可能需要的一份浏览器安全的总结(内附思维导图)

「浏览器安全」你可能需要的一份浏览器安全的总结(内附思维导图)

作者:互联网

通过这篇文章你可以了解到同源策略、跨站脚本***(xss)、跨域请求伪造(CSRF)以及安全沙箱相关知识;

以下是本文的思维导图,直接拿图点个赞吧~:watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

(手机端可能看不清)获取高清PDF,请在微信公众号【小狮子前端Vue】回复【浏览器安全】


同源策略 一、什么是同源策略

如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。

二、安全和便利性的权衡
  1. 页面中可以嵌入第三方资源。->XSS***
  1. 跨域资源共享
  1. 跨文档消息机制

面试题

同源策略、CSP、CROS之间的关系?

同源策略就是说通院的页面可以互相操作,但是不同源之间只能通过浏览器提供的手段来操作,比如:

为什么XMLHttpRequest不能跨域请求资源?

跨站脚本***(XSS)

一、XSS can do

二、恶意脚本是怎么注入的?

三、如何阻止 XSS ***?

  1. 服务器对输入脚本进行过滤或转码
  2. 充分利用 CSP
跨域请求伪造(CSRF)***

陌生链接不要随便点

一、什么是 CSRF ***?

***利用了用户的登录状态,并通过第三方的站点来做一些坏事。

  1. 自动发起 Get 请求
  2. 自动发起 POST 请求
  3. 引诱用户点击链接

和 XSS 不同的是,CSRF ***不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施***。

二、如何防止 CSRF ***?

CSRF ***的三个必要条件?1.目标站点一定要有 CSRF 漏洞;2.用户要登录过目标站点,并且在浏览器上保持有该站点的登录状态;3.需要用户打开一个第三方站点,可以是***的站点,也可以是一些论坛;

1.充分利用好 Cookie 的 SameSite 属性SameSite的三种属性:

2. 验证请求的来源站点Post请求时的Origin信息(以CSDN为例)watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

3. CSRF Token

4.X-FRAME-OPTIONS

安全沙箱

是页面和系统之间的隔离墙watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

一、安全沙箱是如何影响到各个模块功能的呢?

持久存储现代浏览器将读写文件的操作全部放在了浏览器内核中实现,然后通过 IPC 将操作结果转发给渲染进程。

网络访问浏览器内核在处理 URL 请求之前,会检查渲染进程是否有权限请求该 URL。比如检查 XMLHttpRequest 或者 Fetch 是否是跨站点请求,或者检测 HTTPS 的站点中是否包含了 HTTP 的请求。

用户交互

二、站点隔离(Site Isolation)

所谓站点隔离是指 Chrome 将同一站点(包含了相同根域名和相同协议的地址)中相互关联的页面放到同一个渲染进程中执行。

总结

⭐️文章产出不易,请毫不留情的三连吧~

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

标签:XSS,浏览器,跨域,导图,内附,站点,请求,页面
来源: https://blog.51cto.com/100Chocolate/2902207