web安全小节

WEB 前端安全

页面安全

• 同源策略

• xss跨站脚本攻击(cross site scripting)
  经过form表单或者xhr请求等方式注入恶意脚本，骗取浏览器执行这些恶意脚本获取用户信息
  持久性攻击: 经过留言版等功能输入恶意代码，提交后会被保存在数据库中，用户浏览这些数据时被执行这些恶意代码而后窃取用户数据
  非持久性: 只在当前执行

  http://a.com?q=![]()

  防护: 过滤用户提交的危险字符

  CSP(content-security-policy)
      设置cookie为httpOnly,使得JavaScript不能经过document.cookie等方式来获取cookie

• csrf跨站请求伪造(cross site request forgery)
  经过登陆了目标网站用户，以超连接等方式跳转到第三方网站，利用携带的cookie信息，伪造身份向目标网站发送请求(删除，转帐...)
  防护: 网站应用验证请求发送方 sameSite 严格模式strict； 目标网站验证请求(全部请求必须携带目标网站下发的token来验证身份)

网络安全

• http / https
  http: 明文发送，有被窃取修改的风险
  不验证通讯方身份，不能肯定报文的完整性
  https: 数据加密，身份验证

  https 采用非对称加密和对称加密技术
  向CA申请证书包含(公钥，CA数字签名)
  访问服务器 -> 服务器下发证书 -> 客户端检查证书(经过数字签名验证) -> 生成随机hash值 -> 使用服务器公钥进行加密 -> 将加密后的内容发送到服务端 -> 服务端经过本身的私钥匙解密，验证成功后，将这个随机值做为对称加密的密钥

浏览器系统安全

• 浏览器安全经过安全沙箱的隔离性保证安全，让渲染进程在运行中没法访问或修改操做系统中的数据，若是渲染进程须要访问系统资源只能经过浏览器内核(主进程,网络进程...)将结果经过IPC转发给渲染进程