web安全学习笔记之-脚本安全

浏览器安全

浏览器很强大但是也不是那么神秘,本质上就是一个客户端或者终端APP。因为实现了一系列标准的协议文件,而拥有了这个特殊的地位。

作为一名大公司里专职后台的同学,涉足前端工作较少,我们对浏览器的了解程度、 对安全问题的重视还不够。

以前了解的一些基本概念如跨域,今天总算知道为啥而来:同源策略

浏览器判断同源的根据是:host、子域、端口、协议。这些因素里有一个不同就认为不同源

对于js文件引入来说,文件存放在哪儿不决定源,而是由加载的页面决定了源。


dom cookie xmlhhttprequest都受到同源策略影响

flash sliver light等有自己的同源策略。flash看crossdomain.xml 。

书中举例www.qq.com的该配置是qq.com gtimg,com有权限。这里插个题外话,腾讯把图片等静态资源都部署在gtimg而不是qq。原因是为了在请求图片的时候,不会把业务里很多cookie数据也带过来,达到节约带宽减少传输数据的目的。


现代浏览器发展起来多进程架构,进而采用了sandbox技术,让风险可控。在后台系统中,我们其实也大量在运用sandbox的思想,读写分离、环境隔离、set部署等

恶意网站的打击,看起来还是靠过街老鼠人人喊打的机制。搜集举报数据、特征提取,并下发给用户是个常规手段。各种管家软件把这个手段用到极致了。现在恶意手机号识别也靠这个方式来的。 听起来手段不怎么技术,如果换到大数据的思维看,哟喂还挺先进…………





你可能感兴趣的:(web安全)