行业资讯

网络信息安全资讯,SSL证书资讯,SSL行业资讯

您现在所在的位置首页 > 行业资讯 > web安全之浏览器安全解读

web安全之浏览器安全解读

web上网通过浏览器,浏览器是最大入口,这个毋庸置疑。那么怎样做到这个客户端的安全呢?

同源策略

这个如果是个程序员一定不会陌生,这个是浏览器最核心的也是最基本的安全功能,可以说web就是构建在同源策略的基础之上,浏览器只是针对同源策略的一种实现。
试想如果没有同源策略,A网站的js脚步可以在B网站未曾加载的时候任意修改B网站的内容,这是多么令人担忧,浏览器提出了一个origin(源)的概念,来自不同源的对象无法干扰。
那具体什么是同源呢?简单理解就是协议相同,域名或者IP相同,就是同源。主要因素是host、子域名、端口和协议。
在浏览器中,script、img、iframe、link等标签都是可以跨域加载资源的,而不受同源策略的影响。这些带src属性的标签每次加载的时候,实际上有浏览器发起一次GET请求,这个不同于xmlhttprequest的是,通过src属性加载的资源浏览器限制了js的权限,使其不能读写返回的内容。

网站拦截

恶意网址拦截的原理很简单,一般都是浏览器周期性的从服务器端获取一份最新的恶意网址黑名单,如果用户访问网址存在黑名单中,就是有告警页面,这些网址分为两种,一种是挂马网站,这些网站通常包含恶意脚本如果js,通过浏览器漏洞执行shellcode,在用户电脑植入木马,另一类是钓鱼网站,通过模仿知名网站的相似页面来欺骗客户。