2. 程式人生 > >域名小知識:Public Suffix List

域名小知識:Public Suffix List

阿新 發佈:2018-12-23

提醒:本文最後更新於 1089 天前,文中所描述的資訊可能已發生改變,請謹慎使用。

前幾天 Hax 賀老在我部落格挖墳,在《Webkit 下最無敵的跨大域方案》中留言說到「這個實際確實應該是安全 Bug(Chrome 的某個開發者也可能犯錯誤),而且後來被修了」。那篇文章寫於三年半前,也該更新一下了。最近一連寫了好多關於 HTTP 的文章,今天正好拿 Webkit 這個 Bug 換換口味。

先來回顧一下那篇文章中描述的 Bug:

Webkit 中,通過 document.domain,可以將 domain 設定到最後一級(最後一個點之後的內容)。由於域名最後實際上有一個 .(例如 https://imququ.com.

可以正常訪問),所以甚至可以將 document.domain 設定為空字串。

根據 HTML5 文件的描述:在 JavaScript 中通過 document.domain 設定當前頁面的 domain 時,如果新值不等於當前值,也不是 IPv4 和 IPv6 格式時,需要判斷新值是否在 PSL(Public Suffix List,公共字尾列表)中,如果存在必須丟擲 SecurityError,終止後續流程。

PSL 是由 Mozilla 建立的公共資源,官網是 publicsuffix.org。它由兩部分組成:一部分是由 ICANN(The Internet Corporation for Assigned Names and Numbers,網際網路名稱與數字地址分配機構)提供的 TLD(Top Level Domain,頂級域名)列表;一部分是由個人或機構提供的 PRIVATE 列表。完整的

PSL 可以從這個地址獲得。

ICANN 維護的 TLD 列表好理解,例如最常見的 com、net、org 等等都屬於這個列表。為大家所熟知的 TLD 最多也就幾十個,那麼完整的 TLD 列表包含多少記錄呢?我統計了一下,截至到當前:

  • TLD 列表中一共有 7247 條記錄;
  • 最長的記錄有 35 個字元,例如:posts-and-telecommunications.museum;
  • 級別最多的記錄有 4 級,例如:pvt.k12.ma.us;

PRIVATE 列表由個人或機構自行新增。例如我想把 imququ.com 的二級域名開放給其它人使用,同時還想讓這些二級域名之間相互隔離,我可以申請在 PRIVATE 列表中加上 imququ.com。目前在 PRIVATE 列表中,有很多都是 Amazon Web Services 新增的,目的就是為了隔離使用者。

現在很多提供 App Engine 服務的廠商一般都會給使用者提供二級域名,例如 example.duapp.com,這會帶來很大的安全隱患:假如使用者將 document.domain 設定為大域;或者在設定 cookie 時指定 domain 為大域,都會導致網站完全暴露給其它二級域名使用者。那如果使用者在使用過程中避免了這些問題,是不是就高枕無憂了呢?也不是!其它使用者如果在大域寫入大量 Cookie,一樣可以對你的二級域名造成拒絕服務攻擊,想了解細節的同學請看這篇文章:超大 Cookie 拒絕服務攻擊

這也是為什麼亞馬遜要把那麼多 AWS 域名都加到 PSL 的 PRIVATE 列表中的原因。國內的服務商,我看到 Sina 的 SAE 也做了相關處理,這一點上 SAE 確實比較細緻。

目前 PSL 中的 PRIVATE 記錄統計如下:

  • PRIVATE 列表一共有 557 條記錄;
  • 最長的記錄有 36 個字元,例如:ap-northeast-1.compute.amazonaws.com;
  • 級別最多的記錄有 5 級,例如:s3.cn-north-1.amazonaws.com.cn;

二者加起來,完整的 PSL 一共有 7804 條記錄。

PSL 做為公共資源,可以被用在很多場景上,例如 Firefox 用它在位址列高亮 URL 的關鍵部分。PSL 更重要的用途是用在瀏覽器同源策略上:例如通過 document.cookie 設定 cookie,或者通過 document.domain 設定當前 domain,都不允許將 domain 設定為 PSL 中的記錄。

Webkit 一直以來只在設定 cookie 時使用了 PSL,前面提到的 Chrome 的那個 Bug 純屬從 Webkit 繼承而來。大約在兩年前(詳情),Chrome 解決了這個問題。以下分別是用最新的 Chrome、Firefox 以及 Microsoft Edge 的測試結果:

top-level-domain-chrome

top-level-domain-firefox

top-level-domain-edge

然而,Safari 至今為止依然沒有修復這個問題,以下是在最新的 Safari 中的測試結果:

top-level-domain-safari

--EOF--

發表於 2015-11-28 01:32:52 ,並被新增「 WebkitWeb安全 」標籤 。檢視本文 Markdown 版本 »

提醒:本文最後更新於 1089 天前,文中所描述的資訊可能已發生改變,請謹慎使用。

相關推薦

域名知識Public Suffix List

提醒:本文最後更新於 1089 天前,文中所描述的資訊可能已發生改變,請謹慎使用。 前幾天 Hax 賀老在我部落格挖墳,在《Webkit 下最無敵的跨大域方案》中留言說到「這個實際確實應該是安全 Bug(Chrome 的某個開發者也可能犯錯誤),而且後來被修了」。那篇文章寫於三年半前,也該更新一下了

知識免費試用申請妙招

微軟雅黑 圖片 orm 自己的 多說 font 完全 可能 小技巧 http://www.3agpl.com免費試用已經流行了一段時間了,有玩過的,沒玩過的,大概也聽說過。而會看這篇文章的,要麽就是申請不到東西的,要麽就是沒玩過的,所以,小編就從一個沒玩過的角度來講,從完全

知識node.js裡 exports 和 module.exports

這兩者都是要暴露API,exports 是module.exports的一個引用,預設情況下就是一個物件: exports:  通過形式如(exports.變數名)這種方式暴露的各種變數,最後都會歸到一個未命名的物件之下,這個物件的命名則在要引入的模組中定義,程式碼如下。

Unity知識學會如何看Stats視窗,掌握遊戲的狀態

一開始不會看UnityStats視窗,也不知道那些具體有什麼用,他們想要表達什麼,後來到遊戲優化的時候,他們會告訴你一些資訊。這篇是我搜集的資料,好像有好幾篇在這,稍微整理了一下! 簡介:Stats視窗,全程叫做 Rendering Statistics Window , 即渲染資料統計視窗,它

域名知識

域名:網路中的主機名比如www.baidu.com 域名伺服器:將網路中的主機名解析成IP地址(解析成IP後才可以訪問,登入某個網站其實訪問的是網路中的一臺伺服器(也可以說一臺主機、電腦)) 如何解析的呢? 首先有一個根域名伺服器,裡面包含著一些資訊 類似com對應的IP去那個解析伺

補充知識檔案控制代碼與檔案識別符號

#檔案控制代碼 這是作業系統裡的一個概念,控制代碼是WINDOWS用來標識被應用程式所建立或使用的物件的唯一整數,WINDOWS使用各種各樣的控制代碼標識諸如應用程式例項,視窗,控制,點陣圖,GDI物件等等。WINDOWS控制代碼有點象C語言中的檔案控制代碼。 從上面的定義中的我們可以看到,控制代碼是一個

android知識ArrayList和陣列之間的轉換

List----->陣列開發中不免碰到List與陣列型別之間的相互轉換,舉一個簡單的例子: package test.test1; import java.util.ArrayList; import java.util.List; public class Test { /** * @param ar

前端知識jquery提示框自動消失

js 提示框自動消失showType:定義將如何顯示該訊息。可用值有:null,slide,fade,show。預設:slide。showSpeed:定義視窗顯示的過度時間。預設:600毫秒。width:定義訊息視窗的寬度。預設:250px。height:定義訊息視窗的高度。

TensorFlow中的知識InteractiveSession()

為什麼有些程式碼裡使用了InteractiveSession(),而有些卻沒有使用呢? 本篇用於記錄InteractiveSession()與普通的Session()的使用區別。 InteractiveSession 詳見 TensorFlow 官

C++知識用合適的工具來分析你的程式碼

靜態程式碼分析工具可簡化編碼過程,檢測出錯誤並幫助修復。有個國外團隊檢測了 200 多個 C/C++ 開源專案,包括了 Php、Qt 和 Linux 核心等知名專案。於是他們每天分享一個錯誤案例,並給出相應建議。今天的案例來自 LibreOffice 專案。 錯誤程式碼 BOOL W

C++知識大於0並不意味著等於1

注:本文所指出的錯誤例子其實非常簡單,任何 C++ 的初學者都能看懂。但是這個錯誤也非常典型,估計很多非常嚴肅的程式碼裡面都存在這樣的錯誤。 這個 Bug 是來自於 CoreCLR 原始碼。 錯誤程式碼: bool operator( )(const GUID& _Key

C++知識用 ++i 替代 i++

靜態程式碼分析工具可簡化編碼過程,檢測出錯誤並幫助修復。PVS-Studio 是一個用於 C/C++ 的靜態程式碼分析工具。該團隊檢測了 200 多個 C/C++ 開源專案,包括了 Unreal Engine、Php、Haiku、Qt 和 Linux 核心等知名專案。於是他們每天

C++知識儘可能使用列舉類

靜態程式碼分析工具可簡化編碼過程,檢測出錯誤並幫助修復。PVS-Studio 是一個用於 C/C++ 的靜態程式碼分析工具。該團隊檢測了 200 多個 C/C++ 開源專案,包括了 Unreal Engine、Php、Haiku、Qt 和 Linux 核心等知名專案。 下面這

C++知識為什麼錯誤程式碼能正常工作

本篇案例來自 Miranda NG 原始碼。 錯誤程式碼: #define MF_BYCOMMAND 0x00000000L void CMenuBar::updateState(const HMENU hMenu) const {   

TensorFlow中的知識tf.flags.DEFINE_xxx()

讀別人家的程式碼的時候經常看到這個,結果兩三天不看居然忘記了,這腦子絕對上鏽了,決定記下來免得老是查來查去的。。。 內容包含如下幾個我們經常看到的幾個函式: ①tf.flags.DEFINE_xxx() ②FLAGS = tf.flags.FLAGS ③

Python知識點判斷一個list中是否包含另一個list的全部元素

你可以用for in迴圈+in來判斷,但有個更簡單更簡潔的方法,就是把list轉換成集合。 也就是說將是否包含變成是否是其真子集 以下是一個簡單的例子 >>> a = [1,2,3,4,5,6] >>> b = [2,4,6] >

NET類庫中的知識弱引用

1、什麼是弱引用? 通常情況下,一個例項如果被其他例項引用了,那麼他就不會被GC回收,而弱引用的意思是,如果一個例項沒有被其他例項引用(真實引用),而僅僅是被弱引用,那麼他就會被GC回收。 2、弱引用的用處。 如果建立了一個類“Class人”,他有個屬性 “手”。 priva

Java的一些知識package,import,不同目錄下類的呼叫

這道題一共要建三個目錄:C:\myproj\bin、C:\myproj\lib和C:\myproj\classes,也可以自己建所要的目錄,三個目錄不同就可以了,具體要求如下: n public的A.class和B.class屬於包X.Y,該包存放在C:\myproj\cl

知識講述Linux命令別名與資原始檔的區別

別名 別名是命令的快捷方式。為那些需要經常執行,但需要很長時間輸入的長命令建立快捷方式很有用。語法是: alias ppp='

劍指offer第32題把陣列排成最的數及關於list.sort()和sorted( Iterable object )函式的相關知識

 * 解題思路:  * 先將整型陣列轉 換成字元 陣列,然後將String陣列排序,最後將排好序的字串陣列拼接出來。關鍵就是制定 比較規則。  * 排序規則如下:  * 若ab > ba 則 a > b,