网站安全防御 从浏览器https XSS入手




        在IT领域,Web浏览器经历的巨大变化非常令人振奋。如今的浏览器在性能、安全、开发

等方面都应用了最先进的技术,在极其激烈的竞争中面临着生死考验。浏览器过去是相对简单

的软件。第一个浏览器只有一个目的:显示萌芽的网页和跟踪超链接。如今,它们已经支持扩

展、插件、摄像头、麦克风和地理定位。不用说,浏览器已经发展成一个极其复杂的软件。

 
 
在浏览器五彩缤纷的历史中,你总是唱歌,我上台,很热闹。有赢家,有输家,有少数人的最

爱,有大众的选择,每个浏览器的口碑都是一个接一个。网景是浏览器战争的早期受害者,但

它的失败催生了Mozilla和Firefox。IE曾经称霸浏览器市场,打败网景的老资历,现在没落了。

先是被开源浏览器重创,后来被GoogleChrome、AppleSafari等商业产品攻击。但由于不断的

进步和财大气粗的微软的大力支持,IE依然生存发展。可以说浏览器之争远未结束。战场发生

了变化,浏览器开拓了新的领域。由于竞争的结果,浏览器提供商意识到安全对用户的重要性

,这使得攻击浏览器变得越来越困难。这主要表现在防御技术的不断进步。
 
 
接下来,我们简单介绍一下当今浏览器在加强防御方面的一些安全特性。HTTP头。HTTP头

增加了很多安全特性。因为关于请求和响应的指令都放在HTTP头里,服务器自然会通过它来

指示浏览器加强安全性。
 
 
1.内容安全策略。XSS将在第二章详细讨论。为了更清楚的解释CSP(ContentSecurityPolicy)

,需要简单提一下。CSP的诞生是为了减少XSS的隐患,所以它定义了指令和内容的区别。

服务器将发送CSPHTTP头内容-安全-策略或X-内容-安全-策略来指定脚本可以加载的位置,

并指定对这些脚本的限制,例如是否允许执行JavaScript的eval()函数。
 
 
2.安全cookie标志。在过去,HTTP和HTTPS都可以无差别地发送cookie。但是,这可能会影

响与浏览器建立的会话的安全性。攻击者可以通过标准的HTTP请求获得通过HTTPS建立的

安全会话令牌。这是securecookielogo希望一夜之间解决的问题。这个标志的主要目的是告

诉浏览器不要通过任何不安全的渠道发送cookie,以确保敏感的会话密码在任何时候任何地

方都受到安全保护。
分享: