Web前端-web安全关键点

柔情痞子 提交于 2019-11-28 07:54:38

 

数据与指令

l  数据

    i.  浏览器打开一个网站,呈现在我们面前的都是数据。

  1. 服务端存储的:数据库、内存、文件系统等
  2. 客户端存储的:本地cookies、flash cookies等
  3. 传输中的:JSON数据、XML数据等
  4. 文本数据:HTML、JavaScript、CSS等
  5. 多媒体数据:flash、mp3等
  6. 图片数据等

l  指令

         i.  如何存储、传输并呈现这些数据,需要执行指令。

         ii. 指令就是要执行的命令,因为指令被解释执行,产生对应的数据内容。

         iii.  不同指令的解释执行,由不同的环境完成。

         iv. 如:sql查询指令的解释环境为数据库引擎。

        v.  如:<script>标签内的是一句JavaScript指令,由浏览器JS引擎来解释执行,解释结果就是数据。而<script>本身却是HTML指令(促成HTML标签),由浏览器DOM引擎进行渲染执行。

浏览器的同源策略

l  同源:

                         i.              同协议

                       ii.              同域名

                      iii.              同端口

                      iv.              https://www.cnblogs.com/dsky/archive/2012/04/06/2434010.html

                       v.              https://www.cnblogs.com/chaoyuehedy/p/5556557.html

l  客户端脚本:

                         i.              JavaScript:各个浏览器原生支持的脚本语言

                       ii.              Actionscropt:flash的脚本语言

                      iii.              VBscript:已经被打入“冷宫”

                      iv.              JavaScript和actionscript都遵循ECMAscript脚本标准,flash提供接口,用于两种语言通信

                       v.              ECMAscript:https://zh.wikipedia.org/wiki/ECMAScript

                      vi.              https://baike.baidu.com/item/ECMAScript

l  授权

                         i.              除了服务端对客户端的授权,客户端也存在授权的现象。

                       ii.              AJAX:让数据在后台进行异步传输。例如:刷新局部网页,节省带宽资源。

                      iii.              https://zh.wikipedia.org/wiki/AJAX

                      iv.              https://www.cnblogs.com/liwenzhou/p/8718861.html

                       v.              https://www.cnblogs.com/suoning/p/5809106.html

                      vi.              https://www.cnblogs.com/mingmingruyuedlut/archive/2011/10/18/2216553.html

l  读写权限

                         i.              Web上的资源,用的有读权限,有的有读+写权限

  1. Referrer:只读权限
  2. Document.cookie:读写权限

l  资源

                         i.              只要是数据,都可以称之为资源。

                       ii.              同源策略的资源指的是web客户端的资源:

  1. HTTP头消息
  2. 整个DOM树:文档对象模型
  3. 浏览器存储

a)         Cookies

b)         Flashcookies

c)         Localstorage

信任和信任关系

l  不同源则不信任,即不存在信任关系

                         i.              木桶原理

  1. 例如:a站nb,b站sb,黑b站后a站也被拿下。

                       ii.              使用<script>标签方式嵌入第三方内容,建立信任关系,导致网站不安全。

  1. 这种关系很普遍:

a)         服务器与服务器

b)         网站与网站

c)         Web服务的不同子域

d)         Web层面与浏览器第三方插件

e)         Web层面与浏览器特殊API

f)          浏览器特殊API与本地文件系统

g)         嵌入的flash与当前DOM树

h)         不同协议直间

i)           等等。。。

社会工程学的作用

l  社工:就是“骗”,即如何伪装攻击以欺骗目标用户。

l  常用辅助技巧

                         i.              Google hack

                       ii.              SNS垂直搜索

                      iii.              各种搜集的数据库合集查询

攻防不单一

场景很重要

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!