第五章 XSSworm剖析 5.1 web2.0應用安全
阿新 • • 發佈:2017-11-11
客戶端 request 結果 不但 暴露 疑問 t對象 網站 開發者
1、改變世界的web2.0
理解起來其實很簡單。web1.0,註重信息從大網站流向個人; web2.0,註重信息從個人流向個人
2、web2.0的安全性
帶來的威脅:
①web1.0只是鼓勵用戶取閱讀 ;而到了web2.0 不但鼓勵用戶閱讀,還鼓勵用戶創造內容。 用戶的廣泛的輸入,肯定帶來了更多的威脅。
Ajax技術指南
優點:之前瀏覽網頁是每次都要發送一次url,然後頁面進行重載。用戶體驗不好。現在用戶不需翻頁,就可以瀏覽網頁,哈哈。
舉例:之前提交表單,需要把所有信息提交到服務器,然後服務器再把完整的結果發送回來,返回了許多沒有必要的信息,造成了寬帶的浪費,用戶體驗也不好。
現在:客戶端只需要向服務器傳送更新過的內容,借助JS處理來自服務器的相應。
XMLHtpRequest對象
理解:這是Ajax的核心。
瀏覽器安全
1、沙箱。是一個受保護的環境,在這個環境中,腳本不能訪問瀏覽器所在的計算機資源,只能訪問來自指定域的資源,這個所說的指定域是指加載腳本的域。
1、同源安全策略。
是一個安全理念。指的就是不同源的代碼不能進行相互訪問。
同源。指的是同協議、同域名、同端口。
疑問:這裏的“域名與其IP均不同”具體什麽意思??
同源策略認為:來自其他任何站點的裝載內容都是不安全的。
優點舉例:
缺點:影響垮與資源共享。所以,開發者就想出了各種方法進行跨域。
自然,可以跨域了,漏洞也就暴露了!!!!!!!!!!!!!!
第五章 XSSworm剖析 5.1 web2.0應用安全