SegmentFault 技術週刊 Vol.13 - Web 安全指南（下）

針對 Web 的攻擊技術：

1. HTTP 不具有必要的安全功能：從總體上看，HTTP 協議機制在如會話管理（session）、加密處理等安全性的功能缺失；

2. 在客戶端便可篡改請求：經過 URL 查詢字段或表單，HTTP 首部，Cookie 等途徑把攻擊代碼傳入。

針對 Web 應用的攻擊模式：

1. 以服務器爲目標的主動攻擊：攻擊者經過直接訪問 Web 應用，把攻擊代碼傳入，主要來攻擊服務器上的資源，常見的如 SQL 注入和 OS 命令注入；

2. 以服務器爲目標的被動攻擊：利用圈套策略執行攻擊代碼的攻擊模式，攻擊者不直接對目標 Web 應用發起攻擊（借刀殺人），主要攻擊用戶的資源和權限。一般的攻擊模式以下：

   • 在Web頁面或郵件內設置陷阱

   • 陷阱誘導

   • 用戶的瀏覽器觸發事先已設好陷阱的 HTTP 請求

   • 用戶的瀏覽器運行攻擊代碼

   • 執行攻擊代碼的後果是用戶所持的 Cookie 等被竊取、用戶權限遭到惡意濫用

被動攻擊模式中具備表明性的攻擊是跨站腳本攻擊（XSS）和誇站點請求僞造（CSRF）。

……

安全入侵的形式那麼多，到底該如何防範？！

鑑於最近杭州電信瘋狂的 HTTP 劫持，我以爲了解一下基本的安全策略仍是有必要的，因此有了這兩期的「安全指南」。上期週刊（Vol.12 - Web 安全指南（上）），介紹了內容傳輸協議如何進行安全保障的方式——HTTPS。這一期，將從瀏覽器的安全入手，進一步完善防範的策略：

- 源與同源
- 同源策略與跨域
  - Cookie (Http-Only)
  - Ajax (CORS / JSONP)
  - iframe
- XSS (Cross-Site Script)
  - 防止 XSS 攻擊 - 轉義
  - HTML 轉義
  - XSS-filter
- CSP (Content Security Policy)
- CSRF (Cross-Site Request Forgery)
- SQL Injection
- X-Frame-Options
- 安全相關的 HTTP 頭

你沒看錯，僅僅想到的，就有這麼多，步步皆需預防。

而這個系列的兩期週刊，就是想培養起安全的意識和基本思路。在問題出現前，就去作這些必要的準備，去研究可能的解決方式，防患於未然。本期週刊，咱們整理了瀏覽器安全策略相關的內容，也許不夠全面也可能不夠深，但但願，這是一個開始。

內容目錄

• 概覽

  • 聊一聊 WEB 前端安全那些事兒 丨 侯醫生

  • 確保你網頁的安全 丨 jimmy_thr

• 同源策略與跨域

  • 淺談瀏覽器端 JavaScript 跨域解決方法 丨 rccoder

  • JavaScript 四種跨域方式詳解 丨 JasonKidd

  • 淺談 JSONP 丨 一波不是一波

  • 爲何是 JSONP 丨 離獨逸

  • 理解 CORS (Cross-Origin Resource Sharing) 丨 JerryC

  • 從原理分析 CORS——咱們究竟是怎麼跨域的 丨 gzchen

  • 瀏覽器和服務器實現跨域（CORS）斷定的原理 丨 chitanda

  • 前端通訊進階 丨 jimmy_thr

  • 你真的會使用 XMLHttpRequest 嗎？ 丨 ruoyiqing

• XSS & CSRF

  • 瞭解 XSS 與防範 丨 名一

  • XSS 零碎指南 丨 小鬍子哥

  • Content Security Policy 入門教程 丨 阮一峯

  • 先後端分離架構下 CSRF 防護機制 丨 wilee

  • 如何經過 JWT 防護 CSRF 丨 名一

• 其餘

  • SQL 注入詳解 丨 songjz

  • 聊一聊 Cookie 丨 ruoyiqing

  • Cookie 在前端中的實踐 丨 Mertens

  • OkHttp3 之 Cookies 管理及持久化 丨 Akioss

  • 在瀏覽器中快速探測 IP 端口是否開放 丨 v1

---

# SegmentFault 技術週刊 #

「技術週刊」是社區特別推出的技術內容系列，一週一主題。週刊篩選的每篇內容，是做者的獨到看法，踩坑總結和經驗分享。

每週二更新，歡迎「關注」或者「訂閱」。你們也能夠在評論處留言本身感興趣的主題，推薦主題相關的優秀文章。