## 安全  ### 浏览器的安全防线： #### 同源策略： 1. 不能访问不同源框架页面 2. ajax不能请求不同源的url（web服务器可以设置允许跨域） 3. 请求时cookie只会向设置源地址发送，每个页面只能读到自己的源下的cookie * * * * * XSS：跨站脚本攻击 CSRF：跨站请求伪造攻击 [浏览器家族的安全反击战](https://mp.weixin.qq.com/s?__biz=MzAxOTc0NzExNg==&mid=2665514143&idx=1&sn=28ea209c00309e6b93d8d1f76032d7a4&chksm=80d67cdcb7a1f5ca81d8d454a98af56d58b22f6058f100e21ff30e70867ea6e3e922a4f000bf&scene=21#wechat_redirect) [Web 安全之跨站脚本攻击（XSS）](https://mp.weixin.qq.com/s/DbnxvQxiGgTsLq_fxAaRKg) [浅谈 CSRF 攻击方式](https://mp.weixin.qq.com/s?__biz=MjM5NTEwMTAwNg==&mid=2650211731&idx=3&sn=edf115407a5b9231d03e713cf94a6217&chksm=befe05b289898ca408d6dd0476174e47e5992d1845946e8a2633ced9fdd62d935a846c00a07c&scene=21#wechat_redirect) [session fixation攻击 - CSDN博客](https://blog.csdn.net/wauit/article/details/47402125) [session记录 · php笔记 · 看云](https://www.kancloud.cn/xiak/php-node/519510) [接口开发 · 前端笔记 · 看云](https://www.kancloud.cn/xiak/quanduan/275548) [web beacon - jvava - 博客园](https://www.cnblogs.com/jvava/p/3926539.html) [老生常谈重放攻击的概念(必看篇) - CSDN博客](https://blog.csdn.net/heluan123132/article/details/74375304) >[danger] 重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。 > > 解决方案：1. 令牌使用一次就过期； 2. 时间戳：A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳（但还不是绝对的安全，如果攻击者截获后立马实施重放，就无法辨别攻击）；3. 序号：增加一个参数，双方协定变更方法；4. 提问与应答：类似于防止表单重复提交的`__token__`和解决跨站请求伪造攻击的`__token__`，这种方式都需要“适用性──用于连接性的对话”，即用户要先请求服务器获取这个`随机因子`；（注意，__token__ 后端这个是验证一次就失效的，每次获取都是一个新的。这点很重要，要说出来。） > **允许所有域名可以跨域请求你是很危险的**，如果这样，你应对跨站请求伪造攻击的`__token__`就没用了，别人用ajax获取你的表单页面，就能从中提取`__token__`了（如果是需要登录页面的话，也是安全的，坏人没有用户的cookie），所以不能允许别人跨域，至于别人用`jsonp`也没有用的，如果用图片请求也是获取不到你的表单页面的，内联框架是可以，不过同源策略，别人访问不到框架里面的内容。不知道还有没其它的方式可以攻破这个防守，比如`flash`呢，能做到随便拿到我们的表单页面吗，如果这样那我们就无法防止跨站请求伪造了，当访问恶意网站就可能出现钱直接被转走了，所以重要的敏感操作还是要发送短信安全码验证才能操作，不然危险。还有一定要上`https`，虽然道高一尺魔高一丈，但我们也绝对不放弃，不惜一切提高系统安全，增加黑客攻破系统的成本，永远走在作恶的人前面就是安全的。 当然，如果用户装上了黑客给他的浏览器，那么同源策略就不复存在了，上面安全就不必要讨论了，用户都装上了黑客做的浏览器，还指望什么安全，还指望什么隐私。 https只能保护传输链路中的数据，所以flash如果能获取包含`__token__`的表单页面，那么也能被攻破。 是不是因为这些原因，flash不安全啊，能力太大的东西，掌控不了它，有人就会起坏心思，所以就不安全。 >[tip] 如果黑客同时利用 XSS CSRF 那么，以上`__token__`也没用了，黑客都能在你页面注入代码了，都能伪造用户登录了，还有什么防守有用呢，所以敏感的操作一定要增加其他方式验证取得临时授权才能操作。 > > Token是一个比较有效的CSRF防护方法，只要页面没有XSS漏洞泄露Token，那么接口的CSRF攻击就无法成功。 > 即使其他人窃取到了你的cookie 重要的数据访问接口加一道手机验证码 这样就安全了！**互联网网站上永远别信任已经登录的用户就是本人在操作** * * * * * [每周分享第 5 期 - 阮一峰的网络日志](http://www.ruanyifeng.com/blog/2018/05/weekly-issue-5.html) [Firefox 60 支持同域才能发送 Cookie](https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/) 本月初，Firefox 60 浏览器发布。它有一个很大的亮点，我看提到的人不多，就是它解决了 CSRF 攻击。 所谓 CSRF 攻击，就是使用真实的 Cookie 进行恶意行为。比如，用户访问 B 网站，页面上有一张来自 A 图站的图片，这时浏览器就会向 A 网站发出请求，并带上 A 网站的 Cookie。如果这张图片的 URL 被精心伪造过（比如是划款请求），麻烦就来了。因为 A 网站的服务器会以为，这个请求是真实的请求，因为 Cookie是对的，从而授权进行各种操作。 Firefox 60 按照最新的标准，为 Cookie 新增了一个 SameSite 属性，明确规定访问 B 网站时向 A 网站发出的请求，一律不许带上 Cookie，这就从根本上防止了 CSRF 攻击。 另外，Firefox 60 还默认打开了 ES6 模块支持，至此所有浏览器都默认支持 ES6 模块。 * * * * * [黑客攻防日记](https://mp.weixin.qq.com/s/9ZB923jDybc143UKl1BRmQ) [ThinkPHP安全规范指引 · ThinkPHP官方博客 · 看云](https://blog.thinkphp.cn/789333) [前端安全系列（一）：如何防止XSS攻击？ - 美团技术团队的个人空间 - 开源中国](https://my.oschina.net/meituantech/blog/2218539) [前端安全系列之二：如何防止CSRF攻击？ - 美团技术团队的个人空间 - 开源中国](https://my.oschina.net/meituantech/blog/2243958) [如何在7分钟内黑掉40家网站？](https://mp.weixin.qq.com/s/HCZ49xzD1HoUrFuUoj9pBg) [2000 多个 Bug！这个系统让银行瘫痪、13 亿人账户出错、最终损失超过 28 亿](https://mp.weixin.qq.com/s/TclzWQ3CzeaQQSrjezPoiA) [浅谈SQL注入防护，提升数据库安全](https://mp.weixin.qq.com/s/R0kicuQitqpEQbZjGrSqQw) [一个历时五天的 Bug](https://mp.weixin.qq.com/s/J_8iMo-M4plvLo1zzw8d2w) [PHP 安全问题入门：10 个常见安全问题 + 实例讲解](https://mp.weixin.qq.com/s/tcYugFroSsR9fFy7rX0O0Q) [ThinkPHP5.\*版本发布安全更新](https://blog.thinkphp.cn/869075) [回忆phpcms头像上传漏洞以及后续影响](https://www.leavesongs.com/PENETRATION/after-phpcms-upload-vul.html) [一夜之间收到上百条短信，账户空了... 这种诈骗方式的背后技术原理](https://mp.weixin.qq.com/s/5wVoBzQjBvJ-XyRdDsSikg) [计时攻击 Timing Attacks | | 酷 壳 - CoolShell](https://coolshell.cn/articles/21003.html) [狡猾无比的超级网络间谍](https://mp.weixin.qq.com/s/zzotMUrx8Ac4RtvgI0z_yw) [fastjson到底做错了什么？为什么会被频繁爆出漏洞？](https://mp.weixin.qq.com/s/xFS9I2vjwbYIBTszjOBfnw) [深夜，我偷听到程序员要对 session 下手…](https://mp.weixin.qq.com/s/-OF51ge5tZpSFX9Hqdou-Q) * * * * * last update：2018-3-30 06:40:56