第2章浏览器安全
2.1 同源策略
同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。
影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。
注意:对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的是加载javascript页面所在的域是什么。
在浏览器中<script>、<iframe>、<img>、<link>等标签都可以跨域加载资源,而不受同源策略的此案只。这些带“src”属性的标签每次加载时,实际上是由浏览器发起了一次GET请求。不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了javascript的权限,使其不能读写返回的内容。
注意跨域访问方案的安全基础就是新人“javascript无法控制该HTTP头”。
| http://www.qq.com/crossdomain.xml
结果:
This XML file does not appear to have any style information associated with it. The document tree is shown below. <cross-domain-policy> <allow-access-from domain="*.qq.com"/> <allow-access-from domain="*.gtimg.com"/> </cross-domain-policy> |
2.2 浏览器沙箱
目前的浏览器多是采用多进程架构,将浏览器的各个功能模块分开,各个浏览器实例分开,当一个进程崩溃时,也不会影响到其他的进程。
Sandbox可以通过封装的API访问本地文件系统,内存,数据库,网络的请求。
浏览器插件会编程浏览器安全的一个威胁来源。
2.3 恶意网址拦截
恶意网址拦截一般都是浏览器周期性的从指定的服务器获取一份最新的恶意网址黑名单。
2.4 高速发展的浏览器安全
很多浏览器插件都是使用javascript编写的,但是这些浏览器插件的权限比一般页面的javascript的权限高。
2.5 小结
浏览器是WEB的入口,浏览器的安全也左右着WEB的安全。
