Web安全1沙箱隔离
生活随笔
收集整理的這篇文章主要介紹了
Web安全1沙箱隔离
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
1.web安全
Web安全的本質(zhì)是信任問題 ?由于信任,正常處理用戶惡意的輸入導(dǎo)致問題的產(chǎn)生 ?非預(yù)期的輸入(就是不是程序員預(yù)期的客戶的輸入) 安全是木桶原理,短的那塊板決定的木桶世紀(jì)能裝多少水,同樣的,假設(shè)把99%的問題都處理了,那么1%的余留會是造成安全問題的那個短板 2.當(dāng)我們訪問一個網(wǎng)址的時候,這中間發(fā)生了什么? ?輸入網(wǎng)址 ?瀏覽器查找域名的IP地址 ?瀏覽器給Web服務(wù)器發(fā)送一個HTTP請求 ?服務(wù)端處理請求 ?服務(wù)端發(fā)回一個HTTP響應(yīng) ?瀏覽器渲染顯示HTML 3.cookie與session的區(qū)別 (1)cookie通常的數(shù)據(jù)保存在客戶端瀏覽器,session保存在服務(wù)器 (2)服務(wù)端保存狀態(tài)機(jī)制需要在客戶端做標(biāo)記,所以session可能借助cookie機(jī)制 (3)cookie通常用于客戶端保存用戶登錄狀態(tài) ?cookie| 字段 | 說明 |
| Name | Cookie名稱 |
| Value | Cookie的值 |
| Domain | 用于指定Cookie的有效域 |
| Path | 用于指定Cookie的有效URL路徑 |
| Expires | 用于設(shè)定Cookie的有效時間 |
| Secure | 如果設(shè)置該屬性,僅在HTTPS請求中提交Cookie |
| Http | 其實應(yīng)該是HttpOnly,如果設(shè)置該屬性,客戶端JavaScript無法獲取Cookie值 |
| 字段 | 說明 |
| Key | Session的key |
| Value | Session對應(yīng)key的值 |
下面是與www.test.com同域情況
| 域名 | 是否同域 | 原因 |
| https://www.test.com | 不同域 | 協(xié)議不同,HTTP與HTTPS為不同協(xié)議 |
| http://fooying.test.com | 不同域 | 域名不同,www與fooying為不同的子域 |
| http://test.com | 不同域 | 域名不同,頂級域與www為不同子域 |
| http://www.test.com:81 | 不同域 | 端口不同,81與默認(rèn)的80為不同端口 |
| http://www.test.com/fooying | 同域 | 只是多了目錄,符號協(xié)議、域名、端口相同 |
| 參數(shù) | 說明 |
| Allow-scripts | 是否允許執(zhí)行JavaScript腳本,沒有則不允許 |
| Allow-forms | 是否允許使用form表單,沒有則不允許 |
| Allow-top-navigation | 是否允許嵌入子頁面控制頂級窗口的地址跳轉(zhuǎn),沒有則不允許 |
| Allow-same-origin | 是否允許訪問同源數(shù)據(jù),沒有則不允許 |
| Domain | 用于指定Cookie的有效域 |
| Path | 用于指定Cookie的有效URL路徑 |
| Secure | 如果設(shè)置該屬性,僅在HTTPS請求中提交Cookie |
| Http | 其實應(yīng)該是HttpOnly,如果設(shè)置該屬性,客戶端JavaScript無法獲取Cookie值 |
轉(zhuǎn)載于:https://www.cnblogs.com/GumpYan/p/5704642.html
總結(jié)
以上是生活随笔為你收集整理的Web安全1沙箱隔离的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Unity学习笔记 - Assets,
- 下一篇: 流程管理产品小故事汇总贴