第二章(客户端脚本安全)
-
同源策略:限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性
- 浏览器最核心最基本的安全功能
- 浏览器源(origin):来自不同源的对象无法互相干扰,影响源的因素有host、子域名、端口、协议
- 对当前页面来说,页面内存放js文件的域并不重要,重要的是加载js页面所在的域是什么。(也就是说,加载此js文件所在的域,就是这个js文件现在的orgin)
- 受同源策略约束的,需先检查目标网站的策略文件是否存在,再按文件中的许可范围查看发起请求的域是否被允许。
-
挂马:
在网页中插入恶意代码,利用浏览器漏洞执行任意代码的攻击方式。
-
多进程架构:
将浏览器各功能模块和实例分开,使其分为不同的进程,相互独立、互不影响,进程之间严格隔离。
-
多进程架构好处:
多进程架构最明显的好处是:相对于单进程浏览器,在发生崩溃时,多进程浏览器只会崩溃掉当前Tab页,而单进程浏览器会崩溃掉整个浏览器进程。
-
Sandbox沙箱:(资源隔离类模块)限制不信任网页代码运行在沙箱环境中,其代码对系统、内存等一些请求采用默认拒绝策略。如果有要求,只能通过指定的数据通道,如:通过封装的API的方式来实现。
-
EVSSL证书:全球数字证书颁发机构与浏览器厂商一起打造的增强型证书,会在地址栏中特别标注(加绿)。