web安全(web应用安全)
2017-11-23 本文已影响0人
MyRhythm
摘自极客学院
甲方和乙方:
甲方:腾讯阿里等,需要安全服务的公司
乙方:提供安全服务、产品而服务型安全公司(绿盟、知道创宇、安天等)
Web与二进制:
web:研究web安全
二进制:研究如客户端安全等
web安全问题:
SQL注入、XSS(跨站脚本攻击)
web安全的本质是信任问题:由于信任,正常处理用户恶意输入导致问题产生,非预期的输入
访问网址的过程:
1.输入网址
2.浏览器查找域名的IP地址
3.浏览器给web服务器发送一个HTTP请求
4.服务端处理请求
5.服务端发回一个HTTP响应
6.服务器渲染展示HTML
URL(统一资源定位器)
http/https:
https数据请求进行了加密(ssl加密)
Cookie:
Session:
Session/Cookie:
Cookie数据保存在客户端浏览器,Session保存在服务器,
服务端保存机制需要在客户端做标记,所以Session可能借助Cookie机制
Cookie通常用于客户端保存用户的登录状态
浏览器特性与安全策略
同源策略
同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源
同域/不同域
授权:
通过HTTP响应头返回的字段进行设置
Access-Control-Allow-Origin:http://www.xxx.com
沙盒框架(Sandboxed frame)
<iframe style="width:800px;height:600px" src="https://www.baidu.com/" sandbox="allow-forms allow-scripts">
flash安全沙箱
Cookie安全策略
内容安全策略(Content Security Policy,CSP)
通过编码在HTTP响应头中的指令来实施策略