cookie是跟用户隐私、web安全有非常大的关联。 在必要的时候我们要使用cookie来完成开发,但是也要充分考虑在使用cookie时的安全性问题。
浏览器同源策略 same-origin policy
发表于
|
分类于
web安全
Same-site Policy
称为浏览器同源策略,是一项非常重要的安全策略。限制不同源的文档或它加载的脚本,对其它文档的访问,帮助阻拦恶意的网站侵犯用户权益。
Referrer Policy
发表于
|
分类于
web安全
当从A页面导航到B页面时,B页面的http请求会带上一个referer
请求头,来标识B页面是从什么页面过来的。这个referer
头的信息,通常来说也构不成安全威胁。但是用户不小心在点击了一个恶意网站,当他访问这个恶意网站的时候,可能会把用户当前正在访问的页面地址以referer
头的方式发送到了恶意网站服务器,从而泄露了用户自己的访问信息。 Referrer Policy
就是用来设置referer
头如何发送的安全策略。
内容安全策略 CSP
发表于
|
分类于
web安全
不管是严格模式,还是普通模式,new Function(‘return this’)(),总是会返回全局对象。但是,如果浏览器用了 CSP(Content Security Policy,内容安全策略),那么eval、new Function这些方法都可能无法使用。
什么是CSP
?即是内容安全策略
,是一种对于页面嵌入或加载的内容进行访问控制的安全策略。
HTTP Strict Transport Security
发表于
|
分类于
web安全
Strict-Transport-Security
是一个http
的response header
,可以告诉浏览器要用https来访问网站,而不是http。hsts
就是http strict transport security
。