浏览器工作原理与实践
李兵
前盛大创新院高级研究员
56402 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 46 讲
开篇词 (1讲)
开篇词 | 参透了浏览器的工作原理,你就能解决80%的前端难题
时长 13:32
宏观视角下的浏览器 (6讲)
01 | Chrome架构:仅仅打开了1个页面,为什么有4个进程?
时长 18:36
02 | TCP协议:如何保证页面文件能被完整送达浏览器?
时长 12:09
03 | HTTP请求流程:为什么很多站点第二次打开速度会很快?
时长 16:17
04 | 导航流程:从输入URL到页面展示,这中间发生了什么?
时长 15:36
05 | 渲染流程(上):HTML、CSS和JavaScript,是如何变成页面的?
时长 13:11
06 | 渲染流程(下):HTML、CSS和JavaScript,是如何变成页面的?
时长 12:46
浏览器中的JavaScript执行机制 (5讲)
07 | 变量提升:JavaScript代码是按顺序执行的吗?
时长 12:18
08 | 调用栈:为什么JavaScript代码会出现栈溢出?
时长 10:55
09 | 块级作用域:var缺陷以及为什么要引入let和const?
时长 14:20
10 | 作用域链和闭包 :代码中出现相同的变量,JavaScript引擎是如何选择的?
时长 12:50
11 | this:从JavaScript执行上下文的视角讲清楚this
时长 12:05
V8工作原理 (3讲)
12 | 栈空间和堆空间:数据是如何存储的?
时长 12:53
13 | 垃圾回收:垃圾数据是如何自动回收的?
时长 14:36
14 | 编译器和解释器:V8是如何执行一段JavaScript代码的?
时长 12:51
浏览器中的页面循环系统 (6讲)
15 | 消息队列和事件循环:页面是怎么“活”起来的?
时长 12:56
16 | WebAPI:setTimeout是如何实现的?
时长 10:59
17 | WebAPI:XMLHttpRequest是怎么实现的?
时长 14:10
18 | 宏任务和微任务:不是所有任务都是一个待遇
时长 13:41
19 | Promise:使用Promise,告别回调函数
时长 13:16
20 | async/await:使用同步的方式去写异步代码
时长 13:46
浏览器中的页面 (8讲)
21 | Chrome开发者工具:利用网络面板做性能分析
时长 12:52
22 | DOM树:JavaScript是如何影响DOM树构建的?
时长 12:57
23 | 渲染流水线:CSS如何影响首次加载时的白屏时间?
时长 09:50
24 | 分层和合成机制:为什么CSS动画比JavaScript高效?
时长 11:40
25 | 页面性能:如何系统地优化页面?
时长 13:15
26 | 虚拟DOM:虚拟DOM和实际的DOM有何不同?
时长 10:33
27 | 渐进式网页应用(PWA):它究竟解决了Web应用的哪些问题?
时长 09:32
28 | WebComponent:像搭积木一样构建Web应用
时长 10:09
浏览器中的网络 (3讲)
29 | HTTP/1:HTTP性能优化
时长 13:46
30|HTTP/2:如何提升网络速度?
时长 12:56
31|HTTP/3:甩掉TCP、TLS 的包袱,构建高效网络
时长 11:26
浏览器安全 (5讲)
32 | 同源策略:为什么XMLHttpRequest不能跨域请求资源?
时长 10:14
33 | 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
时长 12:07
34 | CSRF攻击:陌生链接不要随便点
时长 13:38
35 | 安全沙箱:页面和系统之间的隔离墙
时长 14:51
36 | HTTPS:让数据传输更安全
时长 15:39
结束语 (3讲)
结束语 | 大道至简
时长 03:42
第二季回归 | 这次我们来专门聊聊V8
时长 03:54
结课测试 | 这些浏览器的知识你都掌握了吗?
时长 00:29
课外加餐 (6讲)
加餐一|浏览上下文组:如何计算Chrome中渲染进程的个数?
时长 12:01
加餐二|任务调度:有了setTimeOut,为什么还要使用rAF?
时长 16:25
加餐三|加载阶段性能:使用Audits来优化Web性能
时长 13:38
加餐四|页面性能工具:如何使用Performance?
时长 13:52
加餐五 | 性能分析工具:如何分析Performance中的Main指标?
时长 11:52
加餐六|HTTPS:浏览器如何验证数字证书?
时长 10:48
浏览器工作原理与实践
15
15
1.0x
00:00/00:00
登录|注册

33 | 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?

李兵
示例:Node服务程序演示
案例:喜马拉雅存储型XSS漏洞
生成浮窗广告
修改DOM
监听用户行为
窃取Cookie信息
思考时间
防范策略
XSS攻击的三种模式
使用HttpOnly属性
充分利用CSP
服务器对输入脚本进行过滤或转码
基于DOM的XSS攻击
反射型XSS攻击
存储型XSS攻击
恶意脚本能做的事情
XSS全称是Cross Site Scripting
总结
如何阻止XSS攻击
恶意脚本是怎么注入的
什么是XSS攻击
跨站脚本攻击(XSS)
跨站脚本攻击(XSS)知识关系脑图

该思维导图由 AI 生成,仅供参考

通过上篇文章的介绍,我们知道了同源策略可以隔离各个站点之间的 DOM 交互、页面数据和网络通信,虽然严格的同源策略会带来更多的安全,但是也束缚了 Web。这就需要在安全和自由之间找到一个平衡点,所以我们默认页面中可以引用任意第三方资源,然后又引入 CSP 策略来加以限制;默认 XMLHttpRequest 和 Fetch 不能跨站请求资源,然后又通过 CORS 策略来支持其跨域。
不过支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。

什么是 XSS 攻击

XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。
最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
当页面被注入了恶意 JavaScript 脚本时,浏览器无法区分这些脚本是被恶意注入的还是正常的页面内容,所以恶意注入 JavaScript 脚本也拥有所有的脚本权限。下面我们就来看看,如果页面被注入了恶意 JavaScript 脚本,恶意脚本都能做哪些事情。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了跨站脚本攻击(XSS)的原理、类型和防范措施。XSS攻击通过向HTML文件或DOM中注入恶意脚本,黑客可以窃取用户信息或对用户进行攻击。文章详细介绍了存储型XSS攻击、反射型XSS攻击和基于DOM的XSS攻击,并提出了防范策略。服务器端过滤或转码输入脚本、充分利用CSP策略以及使用HttpOnly属性来保护Cookie信息是有效的防范措施。此外,文章还提到了添加验证码、限制输入长度等策略。总的来说,本文深入浅出地介绍了XSS攻击的原理和防范措施,对于网站开发者和网络安全从业者具有一定的参考价值。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《浏览器工作原理与实践》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | Chrome架构:仅仅打开了1个页面,为什么有4个进程?
04 | 导航流程:从输入URL到页面展示,这中间发生了什么?
10 | 作用域链和闭包 :代码中出现相同的变量,JavaScript引擎是如何选择的?
32 | 同源策略:为什么XMLHttpRequest不能跨域请求资源?
35 | 安全沙箱:页面和系统之间的隔离墙
36 | HTTPS:让数据传输更安全
登录 后留言

全部留言(34)

  • 最新
  • 精选
  • mfist
    跨站脚本攻击前端和后端7 3分吧。毕竟是在浏览器上面出了问题,前端怎么解释也是自己的锅。 存储型xss和反射型的xss一个原则不要信任前端的输入,任何前端的输入东西都进行编码。这个地方出了问题后端是有责任的 基于dom的xss,传输过程中被篡改,用https之后会防止全部场景吗?

    作者回复: 不能的,HTTPS只是增加了攻击难度,让攻击者攻击成本和难度提高了。

    2019-10-28
    6
    6
  • 杨越
    内容安全策略( CSP )详细文档:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
    2020-03-29
    1
    46
  • Snooker
    除去架构不谈,就产品、后端、前端、测试而言。 产品: 1.业务逻辑层面安全验证,保证即使被攻击也要尽量避免或减少损失,如:资金转出、敏感信息操作(修改登录密码、支付密码)等 后端: 1.存储型和反射性XSS,后端占比较大,考虑到可以通过接口绕过前端,所以内容编码后端处理比较可靠。 2.重点头信息返回httponly,这也需要后端实现 前端: 1.基于 DOM 的 XSS 攻击,CSP等前端技术运用,这边主要是前端 测试: 1.丰富测试框架,正对输入框:长度、类型、是否为空、是否重复、组成范围外,也应了解学习安全性测试:XSS攻击、Sql注入等攻击类型。 总体而言,个人觉得前端在XSS攻击中责任占比不大。
    2020-06-23
    1
    29
  • neohope
    其实对于跨站攻击,前端应该承担的责任并不高,原因如下: 1、前端的JS代码,在提交表单时,处理特殊字符或处理脚本的函数,完全可以被绕过。所以依赖前端代码彻底解决注入问题,本身就是不可能的,无论如何后端要做好 2、可以通过浏览器插件,进行伪装,随意组织想提交的内容,和前端没有关系 3、网站设置、服务器安全策略,应该是网站运维和安全组的事情,和前端关系也不大 4、测试放过安全bug,也有一定责任 5、其实在框架层,已经做了不少这方面的防范,无论是前端还是后端,所以框架组也要负责 6、如果被注入脚本了,要防止脚本运行,让浏览器按text处理而不是脚本处理,这个前端要负责的。但被注入本身后端责任更大,所以相当于前端背锅了。
    2020-07-16
    1
    17
  • 潘启宝
    <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
    2019-10-21
    10
  • 许童童
    前端首先要能够意识到有这个攻击的可能性,然后配合后端人员把这些漏洞修复上。其次应该加强测试方的渗透测试,重视安全。
    2019-10-19
    8
  • 早起不吃虫
    老师请教一个问题,CSP是可以通过meta标签设置的,如果恶意插入的是关于CSP的meta设置呢?
    2019-10-19
    7
    6
  • 3Spiders
    前端需要负大部分责任,因为如果你只是添加字符串,却使用了添加DOM的操作,这不是给XSS攻击留下机会吗。如果非要添加DOM操作,也应该对script、meta等脚本标签做过滤。至于cookie的窃取,正如老师所说,设置httpOnly就行,我总认为前端操作cookie是一种不安全的手段。
    2019-10-22
    5
    5
  • niexia
    关于 CSP,可以看一下 MDN 的说明 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
    2019-12-23
    3
  • anthonyliu
    老师!我有个疑问:“黑客拿到了用户 Cookie 信息之后,就可以利用 Cookie 信息在其他机器上登录该用户的账号”。黑客的服务器拿到用户的cookie信息,怎么在黑客的客户端模拟登录了?是cookie中有用户的登录名和密码吗?我觉得这个不太可能。如果这不可能,那是什么情况下,黑客可以通过cookie来登录?
    2021-01-25
    4
    2
收起评论
显示
设置
留言
34
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部