第二章 浏览器安全
1、同源策略
它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript的浏览器都支持这个策略。
同源是指:协议、端口、域名相同。
eg:当一个浏览器的两个tab页中分别打开谷歌和百度页面时,
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。
浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。
2、Sandbox---沙箱
泛指--“资源隔离类模块”
其设计目的是为了让不可信任的代码运行在一定的环境中,限制不可信的代码访问隔离区之外的资源。
如果一定要跨越Sandbox边界产生数据交互,则只能通过指定的数据通道,比如由经封装的API完成,这些API中会严格检查请求的合法性。
3、恶意网站拦截
恶意网址:
挂马网站:这些网站通常有包含恶意的脚本如JavaScript或Flash,通过利用浏览器的漏洞(包括一些插件、控件漏洞)执行shellcode,在用户的电脑中植入木马。
钓鱼网站:通过模仿知名网站的相似页面来欺骗用户。
拦截方法:
1)黑名单:浏览器周期性的从服务器获取一份最新的恶意网址黑名单,若用户访问的网址在黑名单中,则弹出警告。
(PhishTank---互联网上免费提供恶意网址黑名单的组织之一)
2)EVSSL证书: 也称EV SSL证书,英文全名为:Extended Validation SSL Certificate,就是全球领先的数字证书颁发机构和主流的浏览器开发商共同制定的一个新的SSL证书严格身份验证标准。