本文目录一览:
如何关闭跨站点脚本 (XSS) 筛选器
这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。
点击 IE8 的“工具”-“Internet 选项”,进入“安全”选项卡,打开“Internet”下方的“自定义级别”,在“安全设置”对话框中找到“启用 XSS 筛选器”,改为“禁用”即可。
Electron建议开发者定义定义内容安全策略
从2.0版本开始,如果使用electron的开发人员没有定义Content-Security-Policy,Electron就会在DevTool console发出警告
在electron文档的安全性一章中,列出了17个应当遵循的规则,第六个就是对CSP的要求: 。
内容安全策略(CSP) 是一个确保内容安全的控制方式,应对跨站脚本攻击(XSS),数据嗅探攻击(Sniffing)和数据注入攻击(Data injection)的一层保护措施。
Electron建议任何载入到Electron的站点都要开启,以确保应用程序的安全,两种 *** 可以启用 CSP:
两种方式的规则都是一样的, default-src 代表默认规则,'self'表示限制所有的外部资源,只允许当前域名加载资源。
一般情况下,默认规则可以包揽大多数的需求,但凡事都有例外,资源繁多的时候通常需要特殊配置,最值得关心的是script的安全,这至关重要,一旦被注入恶意script,很多安全控制就会荡然无存,可以使用 script-src 这一指令设置:
例如我们要引入google- *** ytics分析流量,可以这样设置:
另外,样式安全以及各种内嵌内容,例如 frame-src,child-src 有时也需要控制,表单提交也可以单独控制,指令是 form-action ,设置多个指令需要用 ; 隔开:
所有的指令可以在MDN官网找到
如果页面请求的内容都是HTTPS的,可以设置:
桌面支付离不开浏览器,市面上有很多浏览器,那浏览器的安全性是一样的吗
浏览器的安全性都是一样的,你在浏览器上使用支付是需要用支付宝安全控件的,所以再浏览器支付是安全的。
浏览器安全可分为:
Web 页面安全:同源策略、XSS 攻击、CSRF 攻击
浏览器 *** 安全:HTTPS
浏览器系统安全:安全沙箱
在没有安全保障的 Web 世界中,我们是没有隐私的,因此需要安全策略来保障我们的隐私和数据的安全。
基础概念
如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。
同源策略会隔离不同源的 DOM、页面数据和 *** 通信,进而实现 Web 页面的安全性。
同源策略具体主要表现在 Dom、Web 数据和 *** 这三个层面。
之一个,DOM 层面。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。
比如:从极客时间官网打开任意一个专栏,然后在控制台输入:{//对象 opener 就是指向之一个页面的 window 对象,我们可以通过操作 opener 来控制之一个页面中的 DOM。let pdom = opener.documentpdom.body.style.display = "none"}。
之一个页面将被隐藏,因为两者同源。如果从极客时间打开比如 InfoQ 的页面,因为两者不同源,在 InfoQ 的页面访问极客时间页面的 DOM 是,页面抛出异常,这就是同源策略发挥的作用,Blocked a frame with origin "" from accessing a cross-origin frame。
第二个,数据层面。同源策略限制了不同源的站点读取当前站点的 Cookie、IndexDB、LocalStorage 等数据。
第三个, *** 层面。同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。
同源策略的安全和便利性的权衡。
安全性和便利性是相互对立的,让不同的源之间绝对隔离,无疑是最安全的措施,但这也会使得 Web 项目难以开发和使用。因此我们就要在这之间做出权衡,出让一些安全性来满足灵活性;而出让安全性又带来了很多安全问题,最典型的是 XSS 攻击和 CSRF 攻击。