web安全介绍与基础入门知识

安全与安全圈

甲方与乙方

甲方:如腾讯,阿里等需要安全服务的公司

乙方:提供安全服务产品的服务型安全公司

web与二进制

web,研究web安全

二进制,研究如客户端安全等

web应用与web安全的发展

web安全,也可以叫做web应用安全。互联网本来是安全的,自从有了研究安全的人之后,

互联网就变得不安全了。

web应用经历了开始,1.0以及现在3.0概念的出现,不断的发展:

20世纪60年代IBM的GML(通用标记语言),以及发展到后来的SGML(标准通用标记语言)。

20世纪90年代,HTML的出现

浏览器的出现与发展

2004年之后,XMLHttpRequest的出现将web推向2.0时代

而现在,开始出现web3.时代

web安全跟随者web应用的发展也不断发展着:

web1.0时代,更多被关注的是服务器端的脚本的安全问题,如SQL注入等

web2.0时代,2005年Samy蠕虫的爆发震惊了世界,web安全主战场由服务器端转换到浏览器。

SQL注入和XSS的出现分别是web安全史上的两个里程碑。

web安全的本质是信任问题

由于信任,正常处理用户恶意的输入导致问题的产生

非预期的输入

安全是木桶原理,短的那块板决定的木桶究竟能装多少水,同样的,

假设把99%的问题都处理了,那么1%的遗留就会使造成安全问题的那块短板

HTTP协议与会话管理

当我们访问一个网址的时候,这中间发生了什么?

输入网址

浏览器查找域名的IP地址

浏览器给web服务器发送一个HTTP请求

服务端处理请求

服务端返回一个HTTP响应

浏览器渲染显示HTML

我们来看一个URL(统一资源定位器)

scheme://login:password@address:port/path/to/resource/?query_string#fragment

1.协议名称

2.层级URL的标记符号(固定不变,语法规定)

3.访问资源需要的凭证信息(可选)

4.从哪个服务器获取数据

5.需要连接的端口号(默认80,可选)

6.指向资源的层级文件路径

7.查询字符串

8.片段ID



HTTP协议与会话管理

Cookie

Name cookie名称

value cookie的值

domain 用于指定cookie的有效URL路径

path 用于指定cookie的有效URL路径

expres 用于设定cookie的有效时间

secure 如果设置该属性,仅在HTTPS请求中提交Cookie

Http其实应该是HttpOnly,如果设置该属性,客户端javascript无法获取Cookie值

Session

key Session的key

Value Session对应key的值

Session与Cookie的区别

Cookie的数据保存在客户端浏览器,Session保存在服务器

服务端保存状态机制需要在客户端做标记,所以session可能借助Cookie机制

cookie通常用于客户端保存用户的登录状态

web应用的性能及网页的渲染

浏览器解析顺序

HTMLPARSER=>CSSPARSER=>Javascript PARSER

浏览器解码顺序

HTMLDECODING=>URLDECODING=>JAVASCRIPTDECODING

HTML Decoding>>URL Decoding>>JavascriptDecoding



DOM树

function createMessage(){

    var oP = document.createElement('p');

    var oText = document.createTextNode('hello world');

    oP.appendChild(oText);

    document.body.appendChild(op);

}

浏览器特性与安全策略

同源策略

同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源

同域与不同域

授权:

HTTP响应头返回

Access-control-oringe

沙盒框架

是对常规iframe表现行为的扩展,它能让顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制。

通过设置iframe的参数实现限制

Allow-scripts:是否允许执行javascript脚本,没有则不允许

Allow-forms:是否允许使用form表单,没有则不允许

Allow-top-navigation:是否允许嵌入子页面控制顶级窗口的地址跳转,没有则不允许

Allow-same-origin:是否允许访问同源数据,没有则不允许

Flash安全沙箱

分为本地沙箱与远程

类似于同源策略,在同一域内的资源会被放到一个安全组下,成为安全沙箱

web站点通过crossdomain.xml文件配置可以提供允许的跨域访问本域上内容的权限(放置于站点根目录)

Cookie安全策略

Domain 用于指定Cookie是有效域

Path 用于指定Cookie的有效URL路径

Secure 如果设置该属性,仅在HTTPS请求中提交Cookie

Http 其实应该是HttpOnly,如果设置该属性,客户端javascript无法获取Cookie值

内容安全策略

通过编码在HTTP响应头中的指令来实施策略



Content-Security-Pplicy:script-src 'self' https://www.

本文看自Web安全之Web 安全介绍与基础入门知识视频

Web安全之Web 安全介绍与基础入门知识的更多相关文章

  1. Python基础入门知识

    本节内容 Python介绍 发展史 Python 2 or 3? 安装 Hello World程序 变量 用户输入 模块初识 .pyc是个什么鬼? 数据类型初识 数据运算 表达式if ...else语 ...

  2. Java基础入门知识

    Java编程入门知识   知识概要: (1)Java入门基本常识 (2)Java的特性跨平台性 (3)Java的编程环境的搭建 (4)Java的运行机制 (5)第一个Java小程序入门 (1)Java ...

  3. iBatis 简单介绍及基础入门

    iBATIS一词来源于“internet”和“abatis”的组合,是一个由Clinton Begin在2002年发起的开放源代码项目.于2010年6月16号被谷歌托管,改名为MyBatis.是一个基 ...

  4. Python类的基础入门知识

    http://www.codesky.net/article/201003/122860.html首先第一点,你会发现Python Class的定义中有一个括号,这是体现继承的地方. Java用ext ...

  5. JavaScript基础入门知识

    JavaScript三种使用方式 JavaScript代码屏蔽 JavaScript内容显示的位置 JavaScript中的错误及解决方法 1.语法错误:通过控制台可以检查并解决. 2.逻辑错误:通过 ...

  6. C++基础入门知识:C++命名空间(名字空间)详解

    一个中大型软件往往由多名程序员共同开发,会使用大量的变量和函数,不可避免地会出现变量或函数的命名冲突.当所有人的代码都测试通过,没有问题时,将它们结合到一起就有可能会出现命名冲突. 例如小李和小韩都参 ...

  7. rabbitmq(一)-基础入门

    原文地址:https://www.jianshu.com/p/e186a7fce8cc 在学东西之前,我们先有一个方法论,知道如何学习.学习一个东西一般都遵循以下几个环节: xxx是什么,诞生的原因, ...

  8. Spring基础入门

    一.Spring了解 Spring:程序员们的春天 Spring主要技术是IOC.AOP两个大概念 它是轻量级的,每个jar包就1M ~ 3M 左右,所以速度快 面向接口编程:降低了耦合度 面向切面编 ...

  9. 【WEB】Tomcat基础使用知识

    由于当前项目性质原因,从开始到现在使用的WEB服务器都是WAS,而Tomcat的基础知识也慢慢地被遗忘.由于种种原因,让我参与到了另外一个全新的项目,使用的是Tomcat6.X,所以复习是必须的,而写 ...

随机推荐

  1. java.lang.NoClassDefFoundError: org/springframework/jdbc/datasource/TransactionAwareDataSourceProxy

    问题:Error creating bean with name 'sqlSessionFactory' defined in class path resource [applicationCont ...

  2. Spring Boot Dubbo 应用启停源码分析

    作者:张乎兴 来源:Dubbo官方博客 背景介绍 Dubbo Spring Boot 工程致力于简化 Dubbo | grep tid | grep -v "daemon" tid ...

  3. web APP 开发之踩坑手记

    屏蔽输入框怪异的内阴影 -webkit-appearance:none 禁止自动识别电话和邮箱 <meta content="telephone=no" name=" ...

  4. easyui datagrid 绑定json对象属性的属性

    今天用easyui 的datagrid绑定数据时,后台提供的数据是实体类类型的,其中有一个实体类A的属性b是另一个实体类B类型的,而前台需要显示b的属性c,这下就悲剧了,前台没法直接绑定了,后来脑筋一 ...

  5. bootstrap img自适应

    img 添加class名img-responsive适配屏幕

  6. jQuery - DOM相关

    1. 操作文本 console.log($("#t1").html()); // 获取span元素中的内容, 包含html标签 $("#t1").html(&q ...

  7. vue中使用axios与axios的请求响应拦截

    VUE中使用Axios axios的安装 npm install axios vue-axios axios在vue的配置与使用 在main.js中引入axios和vue-axios import a ...

  8. Dart编程语法

    语法定义了一组用于编写程序的规则.每种语言规范都定义了自己的语法.Dart语法有如下内容组成: 变量和运算符 类 函数 表达式和代码块 判断和循环结构 注释 库和包 类型定义 数据结构表示:集合/泛型 ...

  9. 【Tomcat】Tomcat调优

    Tomcat的默认配置,性能并不是最优的,我们可以通过优化tomcat以此来提高网站的并发能力.提高Tomcat的性能可以分为两个方向. 服务器资源 服务器所能提供CPU.内存.硬盘的性能对处理能力有 ...

  10. JavaScript做个时间表 Date()

    <span id="shiji"></span><script> window.setInterval("time()",5 ...