SegmentFault 技术周刊 Vol.13 - Web 安全指南（下）

针对 Web 的攻击技术：

1. HTTP 不具有必要的安全功能：从总体上看，HTTP 协议机制在如会话管理（session）、加密处理等安全性的功能缺失；

2. 在客户端便可篡改请求：经过 URL 查询字段或表单，HTTP 首部，Cookie 等途径把攻击代码传入。

针对 Web 应用的攻击模式：

1. 以服务器为目标的主动攻击：攻击者经过直接访问 Web 应用，把攻击代码传入，主要来攻击服务器上的资源，常见的如 SQL 注入和 OS 命令注入；

2. 以服务器为目标的被动攻击：利用圈套策略执行攻击代码的攻击模式，攻击者不直接对目标 Web 应用发起攻击（借刀杀人），主要攻击用户的资源和权限。一般的攻击模式以下：

   • 在Web页面或邮件内设置陷阱

   • 陷阱诱导

   • 用户的浏览器触发事先已设好陷阱的 HTTP 请求

   • 用户的浏览器运行攻击代码

   • 执行攻击代码的后果是用户所持的 Cookie 等被窃取、用户权限遭到恶意滥用

被动攻击模式中具备表明性的攻击是跨站脚本攻击（XSS）和夸站点请求伪造（CSRF）。

……

安全入侵的形式那么多，到底该如何防范？！

鉴于最近杭州电信疯狂的 HTTP 劫持，我以为了解一下基本的安全策略仍是有必要的，因此有了这两期的「安全指南」。上期周刊（Vol.12 - Web 安全指南（上）），介绍了内容传输协议如何进行安全保障的方式——HTTPS。这一期，将从浏览器的安全入手，进一步完善防范的策略：

- 源与同源
- 同源策略与跨域
  - Cookie (Http-Only)
  - Ajax (CORS / JSONP)
  - iframe
- XSS (Cross-Site Script)
  - 防止 XSS 攻击 - 转义
  - HTML 转义
  - XSS-filter
- CSP (Content Security Policy)
- CSRF (Cross-Site Request Forgery)
- SQL Injection
- X-Frame-Options
- 安全相关的 HTTP 头

你没看错，仅仅想到的，就有这么多，步步皆需预防。

而这个系列的两期周刊，就是想培养起安全的意识和基本思路。在问题出现前，就去作这些必要的准备，去研究可能的解决方式，防患于未然。本期周刊，咱们整理了浏览器安全策略相关的内容，也许不够全面也可能不够深，但但愿，这是一个开始。

内容目录

• 概览

  • 聊一聊 WEB 前端安全那些事儿 丨 侯医生

  • 确保你网页的安全 丨 jimmy_thr

• 同源策略与跨域

  • 浅谈浏览器端 JavaScript 跨域解决方法 丨 rccoder

  • JavaScript 四种跨域方式详解 丨 JasonKidd

  • 浅谈 JSONP 丨 一波不是一波

  • 为何是 JSONP 丨 离独逸

  • 理解 CORS (Cross-Origin Resource Sharing) 丨 JerryC

  • 从原理分析 CORS——咱们究竟是怎么跨域的 丨 gzchen

  • 浏览器和服务器实现跨域（CORS）断定的原理 丨 chitanda

  • 前端通讯进阶 丨 jimmy_thr

  • 你真的会使用 XMLHttpRequest 吗？ 丨 ruoyiqing

• XSS & CSRF

  • 了解 XSS 与防范 丨 名一

  • XSS 零碎指南 丨 小胡子哥

  • Content Security Policy 入门教程 丨 阮一峰

  • 先后端分离架构下 CSRF 防护机制 丨 wilee

  • 如何经过 JWT 防护 CSRF 丨 名一

• 其余

  • SQL 注入详解 丨 songjz

  • 聊一聊 Cookie 丨 ruoyiqing

  • Cookie 在前端中的实践 丨 Mertens

  • OkHttp3 之 Cookies 管理及持久化 丨 Akioss

  • 在浏览器中快速探测 IP 端口是否开放 丨 v1

---

# SegmentFault 技术周刊 #

「技术周刊」是社区特别推出的技术内容系列，一周一主题。周刊筛选的每篇内容，是做者的独到看法，踩坑总结和经验分享。

每周二更新，欢迎「关注」或者「订阅」。你们也能够在评论处留言本身感兴趣的主题，推荐主题相关的优秀文章。