文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

客户端脚本安全

2023-08-30 14:46

关注

白帽子讲web安全

————

a.了解web安全测试的基本知识

b.掌握前端的脚本安全知识,了解基本的前端安全测试条目,如同源策略、https://blog.csdn.net/flowerqt/article/details/xss攻击测试、CSRF测试、点击劫持测试

c.webinsepct nessus 绿盟扫描

preview

数据流 输入输出

浏览器安全

同源策略

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介

Web内容的Origin源由用于访问它的URL 的方案(协议),主机(域名)和端口定义。只有当方案,主机和端口都匹配时,两个对象具有相同的起源。

某些操作仅限于同源内容,而可以使用 CORS 解除这个限制

同源的定义:如果两个 URL 的 protocol、port 和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。

对于使用IP 地址连接到网络的计算机,端口是通信端点。端口由数字指定,低于 1024 的每个端口默认与特定协议相关联。

IP 地址是分配给连接到使用 Internet 协议的网络的每个设备的编号。

“IP 地址”通常仍指 32 位 IPv4 地址,直到更广泛地部署 IPv6。

主机(host)是一种连接到 Internet (或者一个本地网络)的设备。有一些被称作 servers (服务器)的主机可以提供额外的服务,如:提供网页、存储文件以及电子邮件。

主机不需要具有一个硬件上的实体,它可以由虚拟机产生。由虚拟机产生的主机也叫作“虚拟主机”。

例如,HTTP协议的默认端口是 80,HTTPS 协议的默认端口是 443,因此HTTP服务器等待这些端口上的请求。每个 Internet 协议都与一个默认端口相关联:SMTP (25)、POP (110)、IMAP (143)、IRC (194) 等等。

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html失败主机不同

注意:对于当前页面,页面内存放JavaScript文件的域并不重要,重要的是加载Javascript页面所在的域是什么

https://blog.csdn.net/flowerqt/article/details/# a.com<script src=http://b.com/b.js ></script>

a.com加载了 b.com的b.js,b.js 运行在a.com上,于是b.js的源就应该是a.com

不受同源策略限制的:
1、页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
2、跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的