【网络安全】——客户端安全（浏览器安全、XSS、CSRF、Clickjacking）

​ 近在学习网络安全相关的知识，于是先从业内一本系统讲Web安全的书《白帽子讲Web安全》系统学习Web安全的相关知识。在此整理书中的知识层次，不求详尽，只求自己对整个Web安全梗概有所了解，另外记录下来以便以后温习。

​ 本书总共分为四篇，作者的安全世界观，客户端脚本的安全、服务端应用的安全以及互联网公司安全运营。这一篇博客记录的是客户端脚本安全的知识，包括安全世界观、浏览器安全、XSS跨站脚本攻击、跨站点请求劫持CSRF、点击劫持和HTML5安全。

​ ps：阅读本书时，发现作者是年西安交通大学少年班出身，在大学期间就成立了“幻影”，后成为中国安全圈内极具影响力的组织 。算来还是学长，在此对学长的书以及学长在中国网络安全界的影响，膜一波。

世界观安全

• 安全三要素 CIA

  • 机密性 Confidentiality
  • 完整性 Integrity
  • 可用性 Availability

• 安全评估

  资产等级划分=》威胁分析=》风险分析=》确认解决方案

• 互联网的核心是由用户数据驱动的

  互联网安全的核心问题，是数据安全的问题

• 威胁建模 STRIDE

  伪装，篡改，抵赖，信息泄露，拒绝服务，提升权限

• 风险模型 DREAD

• 白帽子兵法

  • Secure By Default 原则（黑白名单）
  • 最小权限原则
  • 纵深防御原则（1.多层面，多方面 2.正确的地方做正确的事）
  • 数据与代码分离原则
  • 不可预测性原则

浏览器安全

• 同源策略 Same Origin Policy

  源 浏览器为了不让浏览器的页面行为形成干扰，提出“源”。

  影响源的因素有：host、子域名、端口、协议

  对于当前页面来说，重要在加载JS的域

  在浏览器中 script、 img 、iframe 、link、 标签跨域加载资源，实际发起一次GET请求，但不能读写返回的内容

  XMLHttpRequest受到同源策略影响

• 浏览器沙箱

  挂马 在网页中插入恶意代码，利用浏览器漏洞执行任意代码

  sandbox 资源隔离类模块，将不受信任的代码隔离在访问区之外，通过严格合法检验的API进行访问，各个模块分隔开

  多进程浏览器 浏览器多进程，防止单页面崩溃导致全局崩溃

• 恶意网址拦截

  浏览器周期性从服务器端获得一份最新的恶意网