第 14 章 安全:守护浏览器的 HTTP 功能
[日] 涩川喜规
第 14 章 安全:守护浏览器的 HTTP 功能
在互联网普及之前,由可执行文件等感染计算机病毒而引起的 Crack 就是以破坏为目的的。之后,随着计算机越来越便利,攻击方法也变得多种多样。在 Windows 中添加 CD-ROM 和 USB 等的自动播放功能之后,该功能也会被用来进行攻击。互联网和浏览器能实现的功能越来越多,与此同时也出现了更多的攻击手段。破解安全漏洞,使计算机运行任意程序,虽然这种针对计算机的传统类型的攻击现在仍然存在,但随着浏览器能够执行更多任务,比如进行日常购物、使用邮件和社交网络交换个人信息等,针对计算机上的应用程序——浏览器的攻击也在不断增加。
本章将针对一些常见的安全方面的案例来介绍攻击的发生机制、防范措施和浏览器阻止这些攻击的方法。
关于 Internet Explorer 中特有的信息,我们将在附录中介绍。14.1 传统类型的攻击
我们先来简单整理一下传统类型的攻击方法。注意这里的“传统”只是笔者的叫法,是指攻击不针对浏览器。传统类型的攻击的特征是访问操作系统,而非浏览器。
对计算机构成威胁的软件叫作恶意软件。恶意软件可根据繁殖方式和目的分为不同的类型。
繁殖方式有以下几种。首先是计算机病毒,计算机病毒会感染可执行文件等,一旦可执行文件被运行,病毒就会在其他程序中进行自我复制,不断增加。其次是蠕虫(worm),通过主动攻击网络设备和操作系统的安全漏洞来扩大感染范围。有的恶意软件会利用 USB 存储设备等的自动播放功能,或者使用乍一看很难理解的文件名(setup.exe 等)或办公软件的宏等。不管什么程序,如果不运行就没有意义,而这些恶意软件的意图就在于使用户在不经意间启动。计算机病毒有时会改写其他程序,在其他程序启动时运行。蠕虫可能并不存在宿主,在这种情况下,蠕虫会入侵操作系统的启动脚本或寄存器。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
本文深入探讨了浏览器面临的各种安全攻击及相应的防范措施。重点介绍了会话令牌、Cookie的作用,以及针对跨站脚本攻击(XSS)的防范方法。此外,还详细讨论了针对资源文件和非资源文件设置的Content-Security-Policy指令,以及Mixed Content的应对策略和CORS的作用。另外,文章还提及了中间人攻击和会话劫持的危害以及相应的防范措施,包括使用HTTPS、HSTS等技术来抵御这些攻击。此外,还介绍了Cookie注入、跨站请求伪造、点击劫持和列表型账户入侵等攻击方式,并提出了相应的防范措施。文章还涉及了密码的保存、散列函数的使用、密码的日志掩码化以及多因素身份验证等内容。总的来说,本文内容丰富,为读者提供了全面的浏览器安全防范策略和防范措施,对关注网络安全的技术人员具有很高的参考价值。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《详解 HTTP:协议基础与 Go 语言实现》
《详解 HTTP:协议基础与 Go 语言实现》
立即购买
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论