web安全学习笔记之-脚本安全

浏览器安全

浏览器很强大但是也不是那么神秘，本质上就是一个客户端或者终端APP。因为实现了一系列标准的协议文件，而拥有了这个特殊的地位。

作为一名大公司里专职后台的同学，涉足前端工作较少，我们对浏览器的了解程度、 对安全问题的重视还不够。

以前了解的一些基本概念如跨域，今天总算知道为啥而来：同源策略

浏览器判断同源的根据是：host、子域、端口、协议。这些因素里有一个不同就认为不同源

对于js文件引入来说，文件存放在哪儿不决定源，而是由加载的页面决定了源。

dom cookie xmlhhttprequest都受到同源策略影响

flash sliver light等有自己的同源策略。flash看crossdomain.xml 。

书中举例www.qq.com的该配置是qq.com gtimg,com有权限。这里插个题外话，腾讯把图片等静态资源都部署在gtimg而不是qq。原因是为了在请求图片的时候，不会把业务里很多cookie数据也带过来，达到节约带宽减少传输数据的目的。

现代浏览器发展起来多进程架构，进而采用了sandbox技术，让风险可控。在后台系统中，我们其实也大量在运用sandbox的思想，读写分离、环境隔离、set部署等

恶意网站的打击，看起来还是靠过街老鼠人人喊打的机制。搜集举报数据、特征提取，并下发给用户是个常规手段。各种管家软件把这个手段用到极致了。现在恶意手机号识别也靠这个方式来的。 听起来手段不怎么技术，如果换到大数据的思维看，哟喂还挺先进…………