摘自極客學(xué)院
甲方和乙方:
甲方:騰訊阿里等一喘,需要安全服務(wù)的公司
乙方:提供安全服務(wù)娶吞、產(chǎn)品而服務(wù)型安全公司(綠盟畴栖、知道創(chuàng)宇抗斤、安天等)
Web與二進(jìn)制:
web:研究web安全
二進(jìn)制:研究如客戶端安全等
web安全問題:
SQL注入、XSS(跨站腳本攻擊)
web安全的本質(zhì)是信任問題:由于信任畜伐,正常處理用戶惡意輸入導(dǎo)致問題產(chǎn)生,非預(yù)期的輸入
訪問網(wǎng)址的過程:
1.輸入網(wǎng)址
2.瀏覽器查找域名的IP地址
3.瀏覽器給web服務(wù)器發(fā)送一個HTTP請求
4.服務(wù)端處理請求
5.服務(wù)端發(fā)回一個HTTP響應(yīng)
6.服務(wù)器渲染展示HTML
URL(統(tǒng)一資源定位器)
http/https:
https數(shù)據(jù)請求進(jìn)行了加密(ssl加密)
Cookie:
Session:
Session/Cookie:
Cookie數(shù)據(jù)保存在客戶端瀏覽器躺率,Session保存在服務(wù)器玛界,
服務(wù)端保存機(jī)制需要在客戶端做標(biāo)記,所以Session可能借助Cookie機(jī)制
Cookie通常用于客戶端保存用戶的登錄狀態(tài)
瀏覽器特性與安全策略
同源策略
同源策略規(guī)定:不同域的客戶端腳本在沒明確授權(quán)的情況下悼吱,不能讀寫對方的資源
同域/不同域
授權(quán):
通過HTTP響應(yīng)頭返回的字段進(jìn)行設(shè)置
Access-Control-Allow-Origin:http://www.xxx.com
沙盒框架(Sandboxed frame)
<iframe style="width:800px;height:600px" src="https://www.baidu.com/" sandbox="allow-forms allow-scripts">
flash安全沙箱
Cookie安全策略
內(nèi)容安全策略(Content Security Policy慎框,CSP)
通過編碼在HTTP響應(yīng)頭中的指令來實(shí)施策略
