ppk谈JavaScript笔记 JavaScript的安全性问题(第一章B技术概括)
2017-07-25 19:37
225 查看
JavaScript作为一门web网页脚本语言,若其不安全,将是感染病毒、木马、或者其他恶意程序的最快捷径,以下为JavaScript安全性的讨论
不允许访问宿主计算机
若允许,将可能从用户硬盘中读取密码文件或者写入病毒。
同源策略
两个窗口的页面的Web域名必须相同,才允许跨窗口通信。如果不是这种情况,浏览器就会报告安全错误。
若不限制
恶意站点拥有者可以读取用户在网上银行输入的密码并将其保存于自己的服务器上。
其他限制
参考资料——ppk谈JavaScript(ppk on JavaScript)
不允许访问宿主计算机
若允许,将可能从用户硬盘中读取密码文件或者写入病毒。
同源策略
两个窗口的页面的Web域名必须相同,才允许跨窗口通信。如果不是这种情况,浏览器就会报告安全错误。
若不限制
恶意站点拥有者可以读取用户在网上银行输入的密码并将其保存于自己的服务器上。
其他限制
JavaScript不能读取历史对象的属性。 尽管你可以让用户在浏览器历史中后退,但你不能知道他们退到哪个页面 JavaScript不能设置文件上传表单域的值。 因此,恶意站点拥有者不能讲其设置为密码文件的路径,然后自动提交表单来获取用户密码文件的副本。 试图关闭用户打开的浏览窗口将会被询问动作 除了JavaScript打开的窗口可以不受限制。 大多数浏览器不允许你打开一个小于100x100像素的新窗口,也不可以打开处于屏幕可视范围之外的新窗口。 此外,你也不能打开没有标题栏的新窗口。
参考资料——ppk谈JavaScript(ppk on JavaScript)
相关文章推荐
- 论文笔记:《机器学习安全性问题及其防御技术研究综述》
- Ubuntu常见问题(持续更新) - [技术笔记][zt]
- JavaScript 学习笔记之Currying技术(转载)
- Visual C# 技术内幕学习笔记 第一章 简介
- Javascript高级程序设计第二版第四章--变量,作用域及内存问题--笔记
- JavaScript学习笔记--第一章.变量与字符串
- 本周ASP.NET英文技术文章推荐[02/03 - 02/16]:MVC、Visual Studio 2008、安全性、性能、LINQ to JavaScript、jQuery
- 数据挖掘:概念与技术 学习笔记 第一章
- java笔记:熟练掌握线程技术---基础篇之解决资源共享的问题(中)--前篇
- accp6.0 《使用javascript增强交互效果》学习笔记ch6 表单基本验证技术
- java笔记:熟练掌握线程技术---基础篇之线程的协作和死锁的问题(下)
- java笔记:熟练掌握线程技术---基础篇之线程的协作和死锁的问题(下)
- 我的学习笔记005--常见web前台技术之间的关系html,css,javascript...
- JavaScript学习笔记(一)—细节问题
- JavaScript(XMLHttpRequest)跨域访问解决办法及安全性问题(附java写的proxy代码)
- JavaScript 中级笔记 第一章
- java笔记:熟练掌握线程技术---基础篇之解决资源共享的问题(中)--中篇
- JavaScript学习笔记---DOM技术
- 《AIX 5L系统管理技术》第一章——第四章 笔记
- JavaWeb技术学习笔记(2)-关于tomcat的几个问题