## 安全  ### 瀏覽器的安全防線： #### 同源策略： 1. 不能訪問不同源框架頁面 2. ajax不能請求不同源的url（web服務器可以設置允許跨域） 3. 請求時cookie只會向設置源地址發送，每個頁面只能讀到自己的源下的cookie * * * * * XSS：跨站腳本攻擊 CSRF：跨站請求偽造攻擊 [瀏覽器家族的安全反擊戰](https://mp.weixin.qq.com/s?__biz=MzAxOTc0NzExNg==&mid=2665514143&idx=1&sn=28ea209c00309e6b93d8d1f76032d7a4&chksm=80d67cdcb7a1f5ca81d8d454a98af56d58b22f6058f100e21ff30e70867ea6e3e922a4f000bf&scene=21#wechat_redirect) [Web 安全之跨站腳本攻擊（XSS）](https://mp.weixin.qq.com/s/DbnxvQxiGgTsLq_fxAaRKg) [淺談 CSRF 攻擊方式](https://mp.weixin.qq.com/s?__biz=MjM5NTEwMTAwNg==&mid=2650211731&idx=3&sn=edf115407a5b9231d03e713cf94a6217&chksm=befe05b289898ca408d6dd0476174e47e5992d1845946e8a2633ced9fdd62d935a846c00a07c&scene=21#wechat_redirect) [session fixation攻擊 - CSDN博客](https://blog.csdn.net/wauit/article/details/47402125) [session記錄 · php筆記 · 看云](http://www.hmoore.net/xiak/php-node/519510) [接口開發 · 前端筆記 · 看云](http://www.hmoore.net/xiak/quanduan/275548) [web beacon - jvava - 博客園](https://www.cnblogs.com/jvava/p/3926539.html) [老生常談重放攻擊的概念(必看篇) - CSDN博客](https://blog.csdn.net/heluan123132/article/details/74375304) >[danger] 重放攻擊（Replay Attacks）又稱重播攻擊、回放攻擊或新鮮性攻擊（Freshness Attacks），是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的。這種攻擊會不斷惡意或欺詐性地重復一個有效的數據傳輸。 > > 解決方案：1. 令牌使用一次就過期； 2. 時間戳：A接收一個消息當且僅當其包含一個對A而言足夠接近當前時刻的時戳（但還不是絕對的安全，如果攻擊者截獲后立馬實施重放，就無法辨別攻擊）；3. 序號：增加一個參數，雙方協定變更方法；4. 提問與應答：類似于防止表單重復提交的`__token__`和解決跨站請求偽造攻擊的`__token__`，這種方式都需要“適用性──用于連接性的對話”，即用戶要先請求服務器獲取這個`隨機因子`；（注意，__token__ 后端這個是驗證一次就失效的，每次獲取都是一個新的。這點很重要，要說出來。） > **允許所有域名可以跨域請求你是很危險的**，如果這樣，你應對跨站請求偽造攻擊的`__token__`就沒用了，別人用ajax獲取你的表單頁面，就能從中提取`__token__`了（如果是需要登錄頁面的話，也是安全的，壞人沒有用戶的cookie），所以不能允許別人跨域，至于別人用`jsonp`也沒有用的，如果用圖片請求也是獲取不到你的表單頁面的，內聯框架是可以，不過同源策略，別人訪問不到框架里面的內容。不知道還有沒其它的方式可以攻破這個防守，比如`flash`呢，能做到隨便拿到我們的表單頁面嗎，如果這樣那我們就無法防止跨站請求偽造了，當訪問惡意網站就可能出現錢直接被轉走了，所以重要的敏感操作還是要發送短信安全碼驗證才能操作，不然危險。還有一定要上`https`，雖然道高一尺魔高一丈，但我們也絕對不放棄，不惜一切提高系統安全，增加黑客攻破系統的成本，永遠走在作惡的人前面就是安全的。 當然，如果用戶裝上了黑客給他的瀏覽器，那么同源策略就不復存在了，上面安全就不必要討論了，用戶都裝上了黑客做的瀏覽器，還指望什么安全，還指望什么隱私。 https只能保護傳輸鏈路中的數據，所以flash如果能獲取包含`__token__`的表單頁面，那么也能被攻破。 是不是因為這些原因，flash不安全啊，能力太大的東西，掌控不了它，有人就會起壞心思，所以就不安全。 >[tip] 如果黑客同時利用 XSS CSRF 那么，以上`__token__`也沒用了，黑客都能在你頁面注入代碼了，都能偽造用戶登錄了，還有什么防守有用呢，所以敏感的操作一定要增加其他方式驗證取得臨時授權才能操作。 > > Token是一個比較有效的CSRF防護方法，只要頁面沒有XSS漏洞泄露Token，那么接口的CSRF攻擊就無法成功。 > 即使其他人竊取到了你的cookie 重要的數據訪問接口加一道手機驗證碼 這樣就安全了！**互聯網網站上永遠別信任已經登錄的用戶就是本人在操作** * * * * * [每周分享第 5 期 - 阮一峰的網絡日志](http://www.ruanyifeng.com/blog/2018/05/weekly-issue-5.html) [Firefox 60 支持同域才能發送 Cookie](https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/) 本月初，Firefox 60 瀏覽器發布。它有一個很大的亮點，我看提到的人不多，就是它解決了 CSRF 攻擊。 所謂 CSRF 攻擊，就是使用真實的 Cookie 進行惡意行為。比如，用戶訪問 B 網站，頁面上有一張來自 A 圖站的圖片，這時瀏覽器就會向 A 網站發出請求，并帶上 A 網站的 Cookie。如果這張圖片的 URL 被精心偽造過（比如是劃款請求），麻煩就來了。因為 A 網站的服務器會以為，這個請求是真實的請求，因為 Cookie是對的，從而授權進行各種操作。 Firefox 60 按照最新的標準，為 Cookie 新增了一個 SameSite 屬性，明確規定訪問 B 網站時向 A 網站發出的請求，一律不許帶上 Cookie，這就從根本上防止了 CSRF 攻擊。 另外，Firefox 60 還默認打開了 ES6 模塊支持，至此所有瀏覽器都默認支持 ES6 模塊。 * * * * * [黑客攻防日記](https://mp.weixin.qq.com/s/9ZB923jDybc143UKl1BRmQ) [ThinkPHP安全規范指引 · ThinkPHP官方博客 · 看云](https://blog.thinkphp.cn/789333) [前端安全系列（一）：如何防止XSS攻擊？ - 美團技術團隊的個人空間 - 開源中國](https://my.oschina.net/meituantech/blog/2218539) [前端安全系列之二：如何防止CSRF攻擊？ - 美團技術團隊的個人空間 - 開源中國](https://my.oschina.net/meituantech/blog/2243958) [如何在7分鐘內黑掉40家網站？](https://mp.weixin.qq.com/s/HCZ49xzD1HoUrFuUoj9pBg) [2000 多個 Bug！這個系統讓銀行癱瘓、13 億人賬戶出錯、最終損失超過 28 億](https://mp.weixin.qq.com/s/TclzWQ3CzeaQQSrjezPoiA) [淺談SQL注入防護，提升數據庫安全](https://mp.weixin.qq.com/s/R0kicuQitqpEQbZjGrSqQw) [一個歷時五天的 Bug](https://mp.weixin.qq.com/s/J_8iMo-M4plvLo1zzw8d2w) [PHP 安全問題入門：10 個常見安全問題 + 實例講解](https://mp.weixin.qq.com/s/tcYugFroSsR9fFy7rX0O0Q) [ThinkPHP5.\*版本發布安全更新](https://blog.thinkphp.cn/869075) [回憶phpcms頭像上傳漏洞以及后續影響](https://www.leavesongs.com/PENETRATION/after-phpcms-upload-vul.html) [一夜之間收到上百條短信，賬戶空了... 這種詐騙方式的背后技術原理](https://mp.weixin.qq.com/s/5wVoBzQjBvJ-XyRdDsSikg) [計時攻擊 Timing Attacks | | 酷 殼 - CoolShell](https://coolshell.cn/articles/21003.html) [狡猾無比的超級網絡間諜](https://mp.weixin.qq.com/s/zzotMUrx8Ac4RtvgI0z_yw) [fastjson到底做錯了什么？為什么會被頻繁爆出漏洞？](https://mp.weixin.qq.com/s/xFS9I2vjwbYIBTszjOBfnw) [深夜，我偷聽到程序員要對 session 下手…](https://mp.weixin.qq.com/s/-OF51ge5tZpSFX9Hqdou-Q) * * * * * last update：2018-3-30 06:40:56