https:
http可以被劫持、可以被篡改;
*是安全的基础
CSP:
network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可以阻止插件的行为;4.可以限制其他网站把自己的网页当成iframe:例如一个网页把github设为iframe,会报错(还有一个属性:X-Frame-Options)
*主要就是配置可信的源
XSS:
1.存储型:会把内容存储到数据库,
2.反射型:url?id=123,例如谷歌?q=xxx会直接搜索xxx,
3.Dom-based:利用dom本身的一些缺陷导致的问题
network->Headers->Response Headers->X-XSS-Protection(防反射型):
X-XSS-Protection:0
X-XSS-Protection:1(默认)
X-XSS-Protection:1;mode=block;(阻止)
X-XSS-Protection:1;report=<reporting-url>(被攻击时上报,只在chrome有效)
CSRF:
跨站的脚本攻击。比如支付宝有一个查询余额的接口,现在有支付宝的登录态,假如支付宝没有做CSRF的防范,其他网站可能可以发起跨域请求获取信息。
真正的防范是用token。
network中的Doc是站点的第一个请求