第一章 安全观
ACL 访问控制列表:是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。
SQL注入,XSS跨站脚本攻击,CSRF跨站点请求伪造
破坏永远比建设容易 机密性 完整性 可用性 可审计 不可抵赖
第二章 客户端脚本安全
2.1同源策略
web构建在同源策略之上,浏览器只是对同源策略的一种实现。
浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或者设置某些属性。
对于当前页面来说,页面内存放javascript文件的域并不重要,重要的是加载javascript的页面所在的域是什么。
即b.js的源为加载了它的a.com而不是存放它的b.com。
在浏览器中,<script><img><iframe><link>等标签都可以跨域加载资源,而不受到同源策略的限制。这些带src属性的标签每次加载时,实际上是由浏览器发起了一次GET请求。
不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了Javascript的权限,使其不能读、写返回的内容。
来源:https://www.cnblogs.com/tutu-juejue/p/10479383.html