• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

Web安全技术之浏览器的跨域访问(1)

安全经验 网络收集 2年前 (2016-12-24) 358次浏览 0个评论

一、浏览器介绍

对于 Web 应用来说,浏览器是最重要的客户端。

目前浏览器五花八门多得不得了,除了 Chrome、IE、Firefox、Safari、Opera 这些国外的浏览器外,百度、腾讯、360、淘宝、搜狗、傲游之类的,反正能做的都做了。

浏览器虽然这么多,但浏览器内核主要就以下 4 种:

Trident:IE 使用的内核。

Gecko:Firefox 使用的内核。

WebKit:Safair 和 Chrome 使用的内核。WebKit 由苹果发明,Chrome 也用了,但是 Google 又开发了 V8 引擎替换掉了 WebKit 中的 Javascript 引擎。

Presto:Opera 使用的内核。

国内的浏览器基本都是双核浏览器,使用基于 WebKit 的内核高速浏览常用网站,使用 Trident 内核兼容网银等网站。

二、同源策略

同源策略是浏览器最基本的安全策略,它认为任何站点的内容都是不安全的,所以当脚本运行时,只被允许访问来自同一站点的资源。

同源是指域名、协议、端口都相同。

如果没有同源策略,就会发生下面这样的问题:

恶意网站用一个 iframe 把真实的银行登录页放到他的页面上,当用户使用用户名密码登录时,父页面的 javascript 就可以读取到银行登录页表单中的内容。

甚至浏览器的 1 个 Tab 页打开了恶意网站,另一个 Tab 页打开了银行网站,恶意网站中的 javascript 可以读取到银行网站的内容。这样银行卡和密码就能被轻易拿走。
转载请注明:安全专题


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Web 安全技术之浏览器的跨域访问(1)
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址