目录

第二篇 客户端脚本安全

第2章 浏览器安全

2.1同源策略

2.2浏览器沙箱

2.3恶意网址拦截

2.4高速发展的浏览器安全

---

第二篇 客户端脚本安全

第2章 浏览器安全

近年来随着互联网的发展，人们发现浏览器才是互联网最大的入口，绝大多数用户使用互联网的工具是浏览器。（颇具年代感的开卷语）

“浏览器天生就是一个客户端。”

2.1同源策略

浏览器出于安全考虑，对同源请求放行，对异源请求限制，这些限制规则统称为同源策略。

浏览器对标签发出的跨域请求轻微限制，对AJAX发出的跨域请求严厉限制。

对于客户端web安全的学习与研究来说，深入理解同源策略非常重要，是后续学习的基础。

浏览器的同源策略，限制了来自不同源的“document”或脚本，对当前“document”读取或设置某些属性。

影响“源”的因素有：host（域名或IP地址，如果是IP地址则看作一个根域名）、子域名、端口、协议。

XMLHttpRequest受到同源策略的约束，不能跨域访问资源，在AJAX应用的开发中尤其需要注意这一点。如果XMLHttpRequest能够跨域访问资源，则可能会导致一些敏感数据泄露，比如CSRF的token，从而导致发生安全问题。

在浏览器中，<script>、<img>、<iframe>、<link>、<form>、<audio>、<video>等标签都可以跨域加载资源，而不受同源策略的限制。这些带“src”属性加载的资源，浏览器限制了js的权限，使其不能读、写返回的内容。

2.2浏览器沙箱

在网页中植入一段恶意代码，利用浏览器漏洞执行任意代码的攻击方式，在黑客圈子里被称为“挂马”。“挂马”是浏览器需要面对的一个主要威胁。

以下是一个简单的例子来说明挂马和XSS的区别：

假设有一个网站，其中有一个留言板功能，用户可以在上面留言。攻击者想要攻击使用该网站的用户，他们可以通过以下方式进行攻击：

1. 挂马攻击：攻击者入侵该网站的后台，将恶意代码植入到留言板页面中。当用户访问留言板页面时，恶意代码会自动执行，从而攻击用户的计算机或移动设备。

2. XSS攻击：攻击者在留言板上留下一个恶意脚本，当其他用户访问该留言板页面时，恶意脚本会在其浏览器中执行。恶意脚本可能会窃取用户的会话信息等。

Sandbox即沙箱，计算机技术发展到今天，Sandbox已经成为泛指“资源隔离类模块”的代名词。Sandbox的设计目的一般是为了让不可信任的代码运行在一定的环境中，限制不可信任的代码访问隔离区外的资源。如果一定要跨越Sandbox边界产生数据交换，则只能通过指定的数据通道，比如经过封装的API来完成，在这些API中会严格检查请求的合理性。

2.3恶意网址拦截

恶意网址拦截的工作原理很简单，一般都是浏览器周期性地从服务器端获取一份最新的恶意网址黑名单，如果用户上网时访问的网址存在于此黑名单中，浏览器就会弹出一个警告页面。

常见的恶意网址分为两类：一类是挂马网站，这些网站通常包含有恶意脚本，在用户电脑中植入木马；另一类是钓鱼网站，通过模仿知名网站的相似页面来欺骗用户。

2.4高速发展的浏览器安全

微软在IE8中推出了XSS Filter功能，用以对抗反射型XSS。当用户访问的URL中包含了XSS攻击的脚本时，IE就会修改其中的关键字符使得攻击无法成功完成，并对用户弹出提示框。

Firefox推出了Content Security Policy(CSP)。这一策略做法时由服务器端返回一个http头，并在其中描述页面应该遵守的安全策略。（这种自定义的语法必须由浏览器支持并实现）

除了这些安全功能外，浏览器的用户体验也越来越好，随之而来的是许多标准定义之外的“友好”功能（如畸形URL修正），但很多程序员并不知道这些新功能，从而可能导致一些安全隐患。

浏览器加载的插件也是浏览器安全需要考虑的一个问题，扩展和插件极大地丰富浏览器功能，除了插件可能存在漏洞外，插件本身也可能会有恶意行为。扩展和插件的权限都高于页面js的权限，比如可以进行一些跨域网络请求等。