一. 浏览器系统安全方面,使用多进程方案,而js主线程运行在渲染进程中,渲染进程时运行在沙箱中的,没有对本地OS文件的直接读写权限,所以需要通过IPC与浏览器主线程通信,才可以获取cookie等信息,这样就限制了恶意JS对本地OS系统的置入病毒或者恶意程序。
二. 网络安全方面Https 实现安全加密通信,避免明文数据被窃取。
三. Web页面级别安全,是我们关注的重点。
1. 使用同源策略(协议,域名,端口都必须相同),才可以允许资源共享,彼此操作DOM, cookie, indexDB, LocalStorage, SessionStorage等
- 比如可以通过获取上一个页面的opener来执行DOM操作: opener.document.body.style.display = "none"
- IndexDB是浏览器提供给的一个非关系性数据库,支持事务,支持二进制存储,大小可达250M,它是异步读写的,与LocalStorage同步读写方式不同。
- 在安全与便利性的平衡下,引入CSP(内容安全策略),让Server来决定Browse能加载哪些资源,让Server来决定能否执行内联的JS代码等,减少XSS攻击。
- CSP是一个http响应头字段,告诉浏览器可以从哪里获取资源,是否可以执行某些JS代码等,但这个字段的兼容性不太好,IE不支持,Edge支持。
2. XSS (Cross-Site-Script),
本该缩写为css,可与层叠样式表冲突,故此缩写为XSS。
它的含义是,插入一段JS,用户浏览页面时,它会自动执行实行攻击。由于这段恶意JS拥有正常JS脚本的所有权限,比如读Cookie,监听用户输入的信息(如信用卡账号密码),修改DOM,生成浮动窗广告 等等。所以需要识别和避免。
它有3种类别的XSS
存储型XSS,输入框没有任务过滤,没有经过任何编码/转换直接存到DB中,读取内容是,直接展示出来,就会导致js自动执行。
反射性XSS,通过URL插入<script>标签,server端没有处理到,直接返给Browse
DOM中的XSS,连接一些恶意的WiFI路由器,信息被截获修改,注入恶意JS,返回修改后的内容给浏览器。
如何防止
任何UI输入域,必须转码编译,URL编码,过滤掉特殊的<script>标签等
严格的CSP策略,比如禁止第三方提交数据,禁止执行内联脚本和未授权的脚本,提供上报机制;或者限制加载其他域的资源文件。
Http only,JS不能直接读取这个Cookie,重要的数据需要设置一下,只允许http请求带上。
3. CSRF攻击
跨站请求伪造
它主要是利用用户登录信息,如Cookie信息,通过黑客网站做一些恶意攻击。简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的
case, 用户登录一个正规的银行网站,登录信息一般会保存在cookie中,此时没有退出,则cookie还在有效期内。此时用户访问一个恶意网站,这个网站可自动向银行网站发送请求,比如隐藏域post,image点击,浏览器在向银行网站发送请求时会带上它还没有过期的cookie信息,这样银行站点就区分不出这个请求时从哪里发过来的,就会认为这个请求时合法的,就可以做转账等操作。
如何防止
由于这是由于server端的漏洞+cookie未过期+user打开了黑客的site,3个条件同时满足才会触发的攻击行为,so我们从以下几个方面来防止。
a. SameSite, cookie中的SameSite可以禁止第三方站点发送请求时携带本站点的cookie
它有几个值,
Strict,完全禁止;
Lax, 宽松点,它要求从第三方站点打开且是Get请求时,可以携带这个Cookie,但Post方法,image加载,iframe加载的URL 都不能带。这个也是chrome浏览器(2020年发布的80)后版本的默认值,加强安全策略。
none,没有限制。
因此,网站开发者可以对一些关键cookie设置为strict,lax来加强防控。
b. server端验证Origin/Referer,通过判断请求方来做控制
注意,现在主要是使用Origin,优先级高,Referer,且他们的区别是,Origin不含Path部分,且不会像Referer一样存在兼容性问题,Referer还可能被用户禁用和篡改。
c. CSRF Token
Server返回一个CSRF Token放到隐藏域,或者图片验证码中,每次发请求时会带上,在server端对token(验证码)进行验证。