web安全介绍与基础入门知识

安全与安全圈

甲方与乙方

甲方:如腾讯,阿里等需要安全服务的公司

乙方:提供安全服务产品的服务型安全公司

web与二进制

web,研究web安全

二进制,研究如客户端安全等

web应用与web安全的发展

web安全,也可以叫做web应用安全。互联网本来是安全的,自从有了研究安全的人之后,

互联网就变得不安全了。

web应用经历了开始,1.0以及现在3.0概念的出现,不断的发展:

20世纪60年代IBM的GML(通用标记语言),以及发展到后来的SGML(标准通用标记语言)。

20世纪90年代,HTML的出现

浏览器的出现与发展

2004年之后,XMLHttpRequest的出现将web推向2.0时代

而现在,开始出现web3.时代

web安全跟随者web应用的发展也不断发展着:

web1.0时代,更多被关注的是服务器端的脚本的安全问题,如SQL注入等

web2.0时代,2005年Samy蠕虫的爆发震惊了世界,web安全主战场由服务器端转换到浏览器。

SQL注入和XSS的出现分别是web安全史上的两个里程碑。

web安全的本质是信任问题

由于信任,正常处理用户恶意的输入导致问题的产生

非预期的输入

安全是木桶原理,短的那块板决定的木桶究竟能装多少水,同样的,

假设把99%的问题都处理了,那么1%的遗留就会使造成安全问题的那块短板

HTTP协议与会话管理

当我们访问一个网址的时候,这中间发生了什么?

输入网址

浏览器查找域名的IP地址

浏览器给web服务器发送一个HTTP请求

服务端处理请求

服务端返回一个HTTP响应

浏览器渲染显示HTML

我们来看一个URL(统一资源定位器)

scheme://login:password@address:port/path/to/resource/?query_string#fragment

1.协议名称

2.层级URL的标记符号(固定不变,语法规定)

3.访问资源需要的凭证信息(可选)

4.从哪个服务器获取数据

5.需要连接的端口号(默认80,可选)

6.指向资源的层级文件路径

7.查询字符串

8.片段ID



HTTP协议与会话管理

Cookie

Name cookie名称

value cookie的值

domain 用于指定cookie的有效URL路径

path 用于指定cookie的有效URL路径

expres 用于设定cookie的有效时间

secure 如果设置该属性,仅在HTTPS请求中提交Cookie

Http其实应该是HttpOnly,如果设置该属性,客户端javascript无法获取Cookie值

Session

key Session的key

Value Session对应key的值

Session与Cookie的区别

Cookie的数据保存在客户端浏览器,Session保存在服务器

服务端保存状态机制需要在客户端做标记,所以session可能借助Cookie机制

cookie通常用于客户端保存用户的登录状态

web应用的性能及网页的渲染

浏览器解析顺序

HTMLPARSER=>CSSPARSER=>Javascript PARSER

浏览器解码顺序

HTMLDECODING=>URLDECODING=>JAVASCRIPTDECODING

HTML Decoding>>URL Decoding>>JavascriptDecoding



DOM树

function createMessage(){

    var oP = document.createElement('p');

    var oText = document.createTextNode('hello world');

    oP.appendChild(oText);

    document.body.appendChild(op);

}

浏览器特性与安全策略

同源策略

同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源

同域与不同域

授权:

HTTP响应头返回

Access-control-oringe

沙盒框架

是对常规iframe表现行为的扩展,它能让顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制。

通过设置iframe的参数实现限制

Allow-scripts:是否允许执行javascript脚本,没有则不允许

Allow-forms:是否允许使用form表单,没有则不允许

Allow-top-navigation:是否允许嵌入子页面控制顶级窗口的地址跳转,没有则不允许

Allow-same-origin:是否允许访问同源数据,没有则不允许

Flash安全沙箱

分为本地沙箱与远程

类似于同源策略,在同一域内的资源会被放到一个安全组下,成为安全沙箱

web站点通过crossdomain.xml文件配置可以提供允许的跨域访问本域上内容的权限(放置于站点根目录)

Cookie安全策略

Domain 用于指定Cookie是有效域

Path 用于指定Cookie的有效URL路径

Secure 如果设置该属性,仅在HTTPS请求中提交Cookie

Http 其实应该是HttpOnly,如果设置该属性,客户端javascript无法获取Cookie值

内容安全策略

通过编码在HTTP响应头中的指令来实施策略



Content-Security-Pplicy:script-src 'self' https://www.

本文看自Web安全之Web 安全介绍与基础入门知识视频

Web安全之Web 安全介绍与基础入门知识的更多相关文章

  1. Python基础入门知识

    本节内容 Python介绍 发展史 Python 2 or 3? 安装 Hello World程序 变量 用户输入 模块初识 .pyc是个什么鬼? 数据类型初识 数据运算 表达式if ...else语 ...

  2. Java基础入门知识

    Java编程入门知识   知识概要: (1)Java入门基本常识 (2)Java的特性跨平台性 (3)Java的编程环境的搭建 (4)Java的运行机制 (5)第一个Java小程序入门 (1)Java ...

  3. iBatis 简单介绍及基础入门

    iBATIS一词来源于“internet”和“abatis”的组合,是一个由Clinton Begin在2002年发起的开放源代码项目.于2010年6月16号被谷歌托管,改名为MyBatis.是一个基 ...

  4. Python类的基础入门知识

    http://www.codesky.net/article/201003/122860.html首先第一点,你会发现Python Class的定义中有一个括号,这是体现继承的地方. Java用ext ...

  5. JavaScript基础入门知识

    JavaScript三种使用方式 JavaScript代码屏蔽 JavaScript内容显示的位置 JavaScript中的错误及解决方法 1.语法错误:通过控制台可以检查并解决. 2.逻辑错误:通过 ...

  6. C++基础入门知识:C++命名空间(名字空间)详解

    一个中大型软件往往由多名程序员共同开发,会使用大量的变量和函数,不可避免地会出现变量或函数的命名冲突.当所有人的代码都测试通过,没有问题时,将它们结合到一起就有可能会出现命名冲突. 例如小李和小韩都参 ...

  7. rabbitmq(一)-基础入门

    原文地址:https://www.jianshu.com/p/e186a7fce8cc 在学东西之前,我们先有一个方法论,知道如何学习.学习一个东西一般都遵循以下几个环节: xxx是什么,诞生的原因, ...

  8. Spring基础入门

    一.Spring了解 Spring:程序员们的春天 Spring主要技术是IOC.AOP两个大概念 它是轻量级的,每个jar包就1M ~ 3M 左右,所以速度快 面向接口编程:降低了耦合度 面向切面编 ...

  9. 【WEB】Tomcat基础使用知识

    由于当前项目性质原因,从开始到现在使用的WEB服务器都是WAS,而Tomcat的基础知识也慢慢地被遗忘.由于种种原因,让我参与到了另外一个全新的项目,使用的是Tomcat6.X,所以复习是必须的,而写 ...

随机推荐

  1. vue 笔记,ref 及 $event 事件对象

    本文仅用作简单记录 ref : 在标签上添加 ref = “name” ,表示获取当前元素节点 <input type="text" ref="info" ...

  2. 并发编程(二)——利用Process类开启进程、僵尸进程、孤儿进程、守护进程、互斥锁、队列与管道

    Process类与开启进程.守护进程.互斥锁 一.multiprocessing模块 1.multiprocessing模块用来开启子进程,并在子进程中执行我们定制的任务(比如函数),该模块与多线程模 ...

  3. Vim多窗口编辑

    在Linux中使用vim编辑多个窗口     方式:            1. vim -o file1 file2             打开的两个文件上下窗口分布 比如当前目录有makefil ...

  4. awesome mac

    https://proxyman.app/ https://proxie.app/docs/#how-does-it-work https://github.com/kyleduo/TinyPNG4M ...

  5. Pandas中的DataFrame按指定顺序输出所有列的方法

    问题: 输出新建的DataFrame对象时,DataFrame中各列的显示顺序和DataFrame定义中的顺序不一致. 例如: import pandas as pd grades = [48,99, ...

  6. Redis数据结构之快速列表-quicklist

    链表 在Redis的早期版本中,存储list列表结构时,如果元素少则使用压缩列表ziplist,否则使用双向链表linkedlist // 链表节点 struct listNode<T> ...

  7. hdu6390 /// 欧拉函数+莫比乌斯反演 筛inv[] phi[] mu[]

    题目大意: 给定m n p 求下式   题解:https://blog.csdn.net/codeswarrior/article/details/81700226 莫比乌斯讲解:https://ww ...

  8. vue中:key 和react 中key={} 的作用,以及ref的特性?

    vue中:key 和react 中key={} 为了给 vue 或者react 一个提示,以便它能跟踪每个节点的身份,从而重用和重新排序现有元素,你需要为每项提供一个唯一 key 属性 一句话概括就是 ...

  9. webpack初始化

    1. 安装node js 2. 安装npm 3. 在桌面新建一个文件夹 4.利用cmd 进入文件夹 5.在cmd中创建一个新文件夹并且进入 6.npm init -y  生成page.json 7. ...

  10. Dart编程运算符

    表达式是一种特殊类型的语句,它计算为一个值.每个表达都由 操作数 - 表示数据 运算符 - 定义如何处理操作数以生成值. 考虑以下表达式 2 + 3.在该表达式中,2和3是操作数,符号+(加号)是 运 ...