标签归档:Security

首页 » Posts tagged 'Security'

w3cmm

SameSite cookie 指南

如果嵌入的内容与顶级浏览上下文不在同一个站点,则为第三方内容。

Chrome,Firefox,Edge和其他浏览器将根据IETF提案Incrementally Better Cookies更改其默认行为,以便: 没有SameSite属性的cookie将被视为SameSite=Lax,这意味着默认行为是将cookie仅限于第一方上下文。 跨站点使用的Cookie必须指定SameSite=None; 确保将其包含在第三方上下文中。 这将成为Chrome 80的默认行为,Chrome 80将于2019年12月19日发布Beta版,并计划于2020年2月发布稳定版。 … 继续阅读

发表在 Memo | |
w3cmm

Cookies SameSite 详解

服务器使用Set-Cookie标头设置cookie

A cookie associated with a cross-site resource at <URL> was set without the `SameSite` attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can revie … 继续阅读

发表在 Memo | |
w3cmm

跨站点请求伪造(CSRF)攻击

什么是CSRF 跨站点请求伪造(CSRF),也称为XSRF,Sea Surf或Session Riding,是一种攻击媒介,它诱使Web浏览器在用户登录的应用程序中执行不需要的操作。 成功的CSRF攻击对企业和用户而言都是灾难性的。它可能导致客户关系损坏,未经授权的资金转移,更改的密码和数据盗窃(包括会话cookie被盗)。 CSRF通常是使用恶意的社交工程进行的,例如电子邮件或诱骗受害者向服务器发送伪造请求的链接。由于攻击时毫不怀疑的用户会通过其应用程序进行身份验证,因此无法将合法请求与伪造请 … 继续阅读

发表在 Memo | |
w3cmm

使用rel=noopener更安全

链接目标网页可以通过window.opener访问入口页面window信息,从而被利用将入口页面恶意跳转。 <!–入口页面–> <a href=”test.html” target=”_blank”>进入</a> <!–test.html–> <script>window.opener.location.href=”https://w3cmm.com”;</script> 为了防止window.opener被滥用,在 … 继续阅读

发表在 Memo | |
w3cmm

JavaScript CORS跨域资源共享

通过XHR实现Ajax通信的一个主要限制,来源于跨域安全策略。默认情况下,XHR对象只能访问与包含它的页面位于同一个域中的资源。这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求对于开发某些浏览器应用程序也是至关重要的。 CORS是W3C的一个工作草案,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。CORS的实现原理,就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。 比如一个简单的使用GET或POST发送的请求,它没有自定义的头 … 继续阅读

发表在 Ajax | |