针对 Web 的攻击技术:
HTTP 不具备必要的安全功能:从整体上看,HTTP 协议机制在如会话管理(session)、加密处理等安全性的功能缺失;
在客户端即可篡改请求:通过 URL 查询字段或表单,HTTP 首部,Cookie 等途径把攻击代码传入。
针对 Web 应用的攻击模式:
以服务器为目标的主动攻击:攻击者通过直接访问 Web 应用,把攻击代码传入,主要来攻击服务器上的资源,常见的如 SQL 注入和 OS 命令注入;
以服务器为目标的被动攻击:利用圈套策略执行攻击代码的攻击模式,攻击者不直接对目标 Web 应用发起攻击(借刀杀人),主要攻击用户的资源和权限。通常的攻击模式如下:
在Web页面或邮件内设置陷阱
陷阱诱导
用户的浏览器触发事先已设好陷阱的 HTTP 请求
用户的浏览器运行攻击代码
执行攻击代码的后果是用户所持的 Cookie 等被窃取、用户权限遭到恶意滥用
被动攻击模式中具有代表性的攻击是跨站脚本攻击(XSS)和夸站点请求伪造(CSRF)。
……
安全入侵的形式那么多,到底该如何防范?!
鉴于最近杭州电信疯狂的 HTTP 劫持,我觉得了解一下基本的安全策略还是有必要的,所以有了这两期的「安全指南」。上期周刊(Vol.12 - Web 安全指南(上)),介绍了内容传输协议如何进行安全保障的方式——HTTPS。这一期,将从浏览器的安全入手,进一步完善防范的策略:
- 源与同源
- 同源策略与跨域
- Cookie (Http-Only)
- Ajax (CORS / JSONP)
- iframe
- XSS (Cross-Site Script)
- 防止 XSS 攻击 - 转义
- HTML 转义
- XSS-filter
- CSP (Content Security Policy)
- CSRF (Cross-Site Request Forgery)
- SQL Injection
- X-Frame-Options
- 安全相关的 HTTP 头你没看错,仅仅想到的,就有这么多,步步皆需预防。
而这个系列的两期周刊,就是想培养起安全的意识和基本思路。在问题出现前,就去做这些必要的准备,去研究可能的解决方式,防患于未然。本期周刊,我们整理了浏览器安全策略相关的内容,也许不够全面也可能不够深,但希望,这是一个开始。
内容目录
-
概览
聊一聊 WEB 前端安全那些事儿 丨 侯医生
确保你网页的安全 丨 jimmy_thr
-
同源策略与跨域
浅谈浏览器端 JavaScript 跨域解决方法 丨 rccoder
JavaScript 四种跨域方式详解 丨 JasonKidd
浅谈 JSONP 丨 一波不是一波
为什么是 JSONP 丨 离独逸
从原理分析 CORS——我们到底是怎么跨域的 丨 gzchen
浏览器和服务器实现跨域(CORS)判定的原理 丨 chitanda
前端通信进阶 丨 jimmy_thr
你真的会使用 XMLHttpRequest 吗? 丨 ruoyiqing
-
XSS & CSRF
了解 XSS 与防范 丨 名一
XSS 零碎指南 丨 小胡子哥
前后端分离架构下 CSRF 防御机制 丨 wilee
如何通过 JWT 防御 CSRF 丨 名一
-
其他
SQL 注入详解 丨 songjz
聊一聊 Cookie 丨 ruoyiqing
Cookie 在前端中的实践 丨 Mertens
OkHttp3 之 Cookies 管理及持久化 丨 Akioss
在浏览器中快速探测 IP 端口是否开放 丨 v1
# SegmentFault 技术周刊 #
「技术周刊」是社区特别推出的技术内容系列,一周一主题。周刊筛选的每篇内容,是作者的独到见解,踩坑总结和经验分享。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。