浏览器安全浅析

来源：http://bbs.ichunqiu.com/thread-9659-1-1.html?from=ch

社区：i春秋

时间：2016年8月8日

作者：池寒

前言

随着WEB2.0的时代来临，互联网从C/S架构（客服端/服务端结构）转变为B/S架构(浏览器/服务器结构），后者相比于前者更加方便快捷，因此浏览器便成为了我们访问网站的窗口，浏览器安全也随之变得越来越重要。

目录

1.HTTP协议简介

2.浏览器安全

3.浏览器安全设置

正文

1.HTTP协议简介

HTTP（HyperText Transfer Protocol）协议，即超文本协议，是一种详细规定了浏览器和万维网服务器之间的互相通信的规则。它是一种无状态的协议（浏览器与服务器之间不需要建立持久的连接）

HTTP请求与响应

如图HTTP协议由浏览器发出请求服务器处理请求并返回响应

Request URL：请求地址

Rquest Method：请求方式

Request Headers：请求头

Response Headers：响应头2.浏览器安全

@轩轩发现的一个浏览器缺陷，不知道算不算，好像任何浏览器都能成功

添加伪协议反弹cookie

虽然利用条件受限，但是也存在威胁

假设，你去别人家玩，修改收藏栏地址，然后等到他点击收藏时就可以盗取cookie了。

现在的浏览器通常都会对一些简单的xss语句进行过滤。因此一个页面即便存在xss也不一定能弹窗

因此选用IE版本低的进行验证

是不是看着IE下的javascript代码感觉很怪啊，这是IE自己的一种加密机制，其它浏览器无法识别

所以为了避免xss攻击最好

工具--internet选项

3.浏览器安全设置

IE

打开IE浏览器，点击“工具”→“Internet 选项”→“隐私”，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别(默认为“中”)，拖动滑块就可以方便地进行设定，点击“站点”，可以对特定网站设定允许或拒绝它们使用Cookie。

为不同区域的Web内容指定安全级别设置。包括Internet和本地Intranet，还可以设置受信任的站点和受限制的站点，以此来管理本地计算机和Internet的安全访问

对于一些并不怎么安全的插件或程序脚本应该禁用，以此避免不必要的安全风险

定时清理浏览器历史记录，cookie

Chrome

Chrome隐私安全设置主要是针对内容设置方面，内容设置板块分为八个方面，Cookie、图片、JavaScript、处理程序、插件、弹出式窗口、位置以及通知等。

总结

通常一些网页的恶意代码是通过利用浏览器漏洞来进行攻击的因此浏览器安全也变得尤为重要。相对来说chrome感觉更安全，然而其他浏览器也有其特点，例如：IE能够很好地处理其他所有浏览器都不能处理的histtory.pushState。