浏览器安全

同源策略

概念

浏览器的同源策略(Same Origin Policy),限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。所谓“同源”指的是“三个相同”。

  • 协议相同
  • 域名相同
  • 端口相同

例如,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80

  • http://www.example.com/dir2/other.html:同源
  • http://example.com/dir/other.html:不同源(域名不同)
  • https://www.example.com/dir/other.html:不同源(协议不同)
  • http://www.example.com:81/dir/other.html:不同源(端口不同)

同源策略的目的是为了保证用户信息安全,防止恶意的网站窃取数据。(盗取Cookie冒充用户进行操作)

非同源会有三种行为受到限制。

(1)Cookie、LocalStorage 和 IndexDB 无法读取
(2)DOM 无法获取
(3)AJAX 请求不能发送

浏览器沙箱

“沙箱”泛指 资源隔离类模块,为了让不可信任的代码运行在一定的环境中,限制不可信的代码访问隔离区之外的资源。

恶意网址拦截

浏览器周期性地从服务器端获取一份最新的恶意网址黑名单,如果用户上网访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。

常见恶意网址可以分为两类:

  • 挂马网站——包含恶意脚本
  • 钓鱼网站——模仿知名网站的相似页面来欺骗用户

拓展

常见状态码

状态码 描述
200 客户端请求成功
302 重定向
400 客户端请求有语法错误,不能被服务器理解
401 请求未经授权
403 服务器收到请求,但是拒绝提供服务
404 请求资源不存在
500 服务器内部错误
503 服务器当前不能处理客户端的请求

Google常用语法

关键字 说明
site 指定域名 例:site:baidu.com
intext 正文中存在关键字的网页
intitle 标题中存在关键字的网页 例:intitle:登录
inurl URL中存在关键字的网页 例:inurl:login
filetype 指定搜索文件类型 例:filetype:pdf
related 相似类型的网站 例:related:baidu.com
上一篇:Django—DRF框架


下一篇:1.git相关