客户端安全相关知识点
- 攻击的目的
- 取得在线敏感数据和敏感操作
- 利用客户的浏览器
- 执行js做提交或者取得cookie认证
- 本质
- 取得认证:Cookie
- 影响Cookie认证信息的几个重要属性
- Domain:向哪些域发送本cookie
- Path:向哪些路径发送本cookie
- Secure:向非ssl服务发送本cookie
- Httponly:利用javascript获取本cookie
- P3p:当页面作为iframe等html标签嵌入时,ie是否接受并且发送本cookie
- 影响客户端发送或者获取数据的Domain同源策略
- 客户端脚本的安全性标准
- 同协议,同域名,同端口
- 影响Cookie认证信息的几个重要属性
- 取得操作数据的权限:ajax/csrf
- P3p
- 取得认证:Cookie
- 应对方案
- 从架构上解决问题
- 设计时需要考虑的
- 我们的Cookie认证信息真的需要设置到整个域么
- 不同安全级别的服务可以放到一个域下么
- 前台和后台在安全等级上是分开的,真的分开了么
- 我们重要的业务真的已经独立开来了么
- 解决
- 认证cookie和应用程序cookie独立开(保护认证)
- Httponly(放到哪个域名)
- 应用程序后台敏感操作和前台操作域名独立(同源策略)
- 慎用p3p
- 设计时需要考虑的
- XSS防御方案
- 过滤输入中的特殊符号
- 区分富文本和非富文本,encode非富文本
- 对富文本开始做语法树分析
- 加强表单验证
- ……
- 从设计上解决问题
- 信任域的划分是安全设计的基础
- 访问控制系统是安全设计的核心
- 数据与代码分离是安全设计的表现
- 白名单与不可预测性是安全设计的保障
>炒鸡辣鸡原创文章,转载请注明来源
- 从架构上解决问题
点击查看更多内容
以上内容来自于网络,如有侵权联系即删除
相关文章
- nodejs按行读取文件和写入文件的demo
- 一,输入一个整数算阶乘!
- 腾讯云容器服务日志采集最佳实践
- 排序算法入门之「插入排序」
- 在 Istio 中实现 Redis 集群的数据分片、读写分离和流量镜像
- 【Python 1-0】10个学习Python的理由以及Python的优势有哪些?
- 自动化测试十大必备(背)面试题!
- 一篇文章带你了解HTML表格及其主要属性介绍
上一篇: 构建内网安全的威胁与方法