- 分类
- Web安全
防盗链到底防什么:Referer、签名 URL 与 CDN 鉴权
区分 Referer 防盗链、登录鉴权和签名 URL,理解普通图片、私有文件和视频资源应选择的保护层级。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
第三方资源为什么危险:SRI 与前端供应链安全
浏览器加载第三方脚本时,允许代码读取 DOM、存储数据及调用本站接口,使外部脚本获得页面完整权限,存在篡改、窃取、 овладевание资源等供应链风险。解决方案包括使用 Subresource Integrity(SRI)验证文件哈希完整性,配合 CORS 防御非法跨域访问,并在 CSP 中严格限制资源来源。自托管虽能减少 CDN 篡改风险,但需同步管控依赖维护者权限、构建环境安全性和版本更新哈希校验。常见误区:HTTPS 无法阻止供应链篡改,固定版本才能有效使用 SRI;动态脚本(如带参数的 latest 版本)无法依赖静态哈希验证;第三方 iframe 必须通过 sandbox 限制 DOM 访问,且仅支持与主页面明确约定的 postMessage 通信。最终目标通过全程监控代码来源、版本固化及权限隔离,实现可控供应链安全管理。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
Clickjacking 点击劫持:为什么你点到的不是看到的按钮
Clickjacking利用透明iframe叠加诱导交互按钮窃取用户真实意图操作,攻击本质在于视觉欺骗而非伪造界面。防御核心在于通过Content-Security-Policy设置frame-ancestors为none或白名单,结合X-Frame-Options响应头禁止页面嵌套。高风险操作需增加二次确认、WebAuthn验证等交互安全层,并严格分离敏感功能页面与通用iframe应用。需避免认为JavaScript防护有效、隐藏按钮即安全或依赖CORS阻止嵌入等误区,实际防御需重响应头策略与页面架构设计。SameSite Cookie配置可作为辅助手段,但无法替代根本防御机制。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
CSP 与浏览器安全响应头:给 Web 应用增加第二道防线
CSP通过白名单或nonce限制资源加载和脚本执行,基础策略示例为 script-src 'self'; object-src 'none'; 等配置。若需逐步调整,建议先使用Content-Security-Policy-Report-Only监测风险,再切换至正式策略。配合安全响应头:Strict-Transport-Security强制HTTPS流量;X-Content-Type-Options防止MIME类型猜测;Referrer-Policy控制Referer泄露范围;Permissions-Policy限制摄像头等权限滥用。常见误区包括过度信任unsafe-inline、盲目扩大CSP白名单、依赖meta标签配置强制头等。配置顺序应为清洗安全输出→精简危险API→CSP限制执行环境→监控审计,避免直接复制网络方案。核心收益是形成浏览器纵深防御体系,有效降低XSS劫持、CSRF、点击劫持风险,同时需匹配业务逻辑而非简单堆砌策略。
- 2026/07/13 11:13
- 1
- 0
- 0
- 24.1℃
XSS 为什么能在你的网站执行:三类攻击与防御
XSS本质是攻击者控制的数据被浏览器当作网页代码执行,可在当前Origin下读取localStorage或CSRF Token,并以用户身份调用接口。防御需分层处理:1)普通文本用textContent输出,特殊字符按上下文转义,禁用危险脚本API;2)富文本内容需经严格Sanitizer清洗(如DOMPurify)并限制允许标签及属性;3)框架默认处理模板语法安全,但需避免使用dangerouslySetInnerHTML等危险API;4)配合CSP策略限制内联脚本和eval,但作为第二道防线。常见误区包括仅过滤script标签、依赖单次输入过滤或前端过滤。正确防御需确保同一数据进入不同渲染上下文时均按规则处理,服务端渲染必须严格编码,HttpOnly可作为辅助降低风险但非根本方案。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
CSRF 如何防御:Token、SameSite、Origin 与 Referer
系统组合 SameSite、同步 Token、双重 Cookie、Origin 和 Referer 校验,构建敏感接口的多层 CSRF 防御。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
CSRF 是怎么冒用登录状态的:攻击原理与本地实验
通过本地银行与恶意网站实验,理解攻击者如何让浏览器自动带上登录 Cookie 执行敏感操作。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
CORS 到底在限制什么:跨源请求、预检与凭证
解释浏览器为何允许部分跨源请求却不允许 JavaScript 读取响应,并拆解简单请求、预检和凭证请求。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
HTTPS 为什么仍然不够:TLS、HSTS 与混合内容
理解 HTTPS 保护传输的边界,再说明 Secure Cookie、HSTS、首次访问风险和混合内容。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃
Session 登录状态为什么可能被劫持:生命周期与安全管理
理解 Session ID 的生成、轮换、超时、注销和固定攻击,避免只设置 Cookie 却没有管理登录生命周期。
- 2026/07/13 11:13
- 0
- 0
- 0
- 24.0℃