站長(zhǎng)資訊網(wǎng)轉(zhuǎn)載請(qǐng)注明來(lái)源:HTML5安全攻防詳析之完結(jié)篇:HTML5對(duì)安全的改進(jìn) HTML5對(duì)舊有的安全策略進(jìn)行了非常多的補(bǔ)充。 一、iframe沙箱 HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁(yè)面執(zhí)行某些操作,例如訪問(wèn)父頁(yè)面的DOM、執(zhí)行腳本、訪問(wèn)本地存儲(chǔ)或者本地?cái)?shù)據(jù)庫(kù)等等。但是這個(gè)安全策略又會(huì)帶來(lái)另外的風(fēng)險(xiǎn),這很有趣,例如ClickJacking攻擊里阻止JavaScript腳本的運(yùn)行來(lái)繞過(guò)JavaScript的防御方式。 二、CSP內(nèi)容安全策略 XSS通過(guò)虛假內(nèi)容和誘騙點(diǎn)擊來(lái)繞過(guò)同源策略。 XSS攻擊的核心是利用了瀏覽器無(wú)法區(qū)分腳本是被第三方注入的,還是真的是你應(yīng)用程序的一部分。CSP定義了Content-Security-Policy HTTP頭來(lái)允許你創(chuàng)建一個(gè)可信來(lái)源的白名
1. HTML5安全攻防詳析之完結(jié)篇:HTML5對(duì)安全的改進(jìn)
簡(jiǎn)介:HTML5對(duì)舊有的安全策略進(jìn)行了非常多的補(bǔ)充。HTML5為iframe元素增加了sandbox屬性防止不信任的Web頁(yè)面執(zhí)行某些操作,例如訪問(wèn)父頁(yè)面的DOM、執(zhí)行腳本、訪問(wèn)本地存儲(chǔ)或者本地?cái)?shù)據(jù)庫(kù)等等。
2. Web 前端安全攻防_html/css_WEB-ITnose
簡(jiǎn)介:Web 前端安全攻防
【相關(guān)問(wèn)答推薦】:
ios – GDB 為什么無(wú)法使用破解后 ipa 中的 Symbol?
