1.web安全

Web安全的本質是信任問題 ?由于信任，正常處理用戶惡意的輸入導致問題的產生 ?非預期的輸入（就是不是程序員預期的客戶的輸入） 安全是木桶原理，短的那塊板決定的木桶世紀能裝多少水，同樣的，假設把99%的問題都處理了，那么1%的余留會是造成安全問題的那個短板 2.當我們訪問一個網址的時候，這中間發生了什么？ ?輸入網址 ?瀏覽器查找域名的IP地址 ?瀏覽器給Web服務器發送一個HTTP請求 ?服務端處理請求 ?服務端發回一個HTTP響應 ?瀏覽器渲染顯示HTML 3.cookie與session的區別 (1)cookie通常的數據保存在客戶端瀏覽器，session保存在服務器 (2)服務端保存狀態機制需要在客戶端做標記，所以session可能借助cookie機制 (3)cookie通常用于客戶端保存用戶登錄狀態 ?cookie

字段	說明
Name	Cookie名稱
Value	Cookie的值
Domain	用于指定Cookie的有效域
Path	用于指定Cookie的有效URL路徑
Expires	用于設定Cookie的有效時間
Secure	如果設置該屬性，僅在HTTPS請求中提交Cookie
Http	其實應該是HttpOnly，如果設置該屬性，客戶端JavaScript無法獲取Cookie值

seesion

字段	說明
Key	Session的key
Value	Session對應key的值

4.瀏覽器解析順序和瀏覽器解碼順序 （1）解析順序 （2）解碼順序 5.DOM樹 6.瀏覽器特性與安全策略 （1）同源策略 同源策略規定：不同域的客戶端腳本在沒明確授權的情況下，不能讀寫對方的資源。 同域與不同域： 頂級域名：不帶www的 二級域名：帶www的

下面是與www.test.com同域情況

域名	是否同域	原因
https://www.test.com	不同域	協議不同，HTTP與HTTPS為不同協議
http://fooying.test.com	不同域	域名不同，www與fooying為不同的子域
http://test.com	不同域	域名不同，頂級域與www為不同子域
http://www.test.com:81	不同域	端口不同，81與默認的80為不同端口
http://www.test.com/fooying	同域	只是多了目錄，符號協議、域名、端口相同

?授權 HTTP響應頭返回 Access-Control-Allow-Origin：http://www.fooying.com ?7.沙箱框架（Sandboxed frame） （1）是對常規的<iframe>表現行為的擴展，它能讓頂級頁面對嵌入的子頁面及這些子頁面的子資源設置一些額外的限制。 （2）通過<iframe>的參數實現限制，如，可以在<iframe sandbox="allow-scripts allow-forms">，比如百度搜索，如果沒有這allow-forms，則頁面跳轉不了

參數	說明
Allow-scripts	是否允許執行JavaScript腳本，沒有則不允許
Allow-forms	是否允許使用form表單，沒有則不允許
Allow-top-navigation	是否允許嵌入子頁面控制頂級窗口的地址跳轉，沒有則不允許
Allow-same-origin	是否允許訪問同源數據，沒有則不允許

8.Flash安全沙箱（用來播放flash的） 分為本地沙箱和遠程沙箱 類似于同源策略，在統一域名內的資源會被放到一個安全組下，稱為安全沙箱 Web站點通過crossdomain.xml文件配置可以提供允許的域， 跨域訪問本域上內容的權限（放于站點根目錄） 9.cookie安全策略

Domain	用于指定Cookie的有效域
Path	用于指定Cookie的有效URL路徑
Secure	如果設置該屬性，僅在HTTPS請求中提交Cookie
Http	其實應該是HttpOnly，如果設置該屬性，客戶端JavaScript無法獲取Cookie值

10.內容安全策略（Content Security Policy）CSP 通過編碼在http響應頭中的指令來實施策略 如：Content-Security-Policy:script-src 'self' ?https://www.test.com

轉載于:https://www.cnblogs.com/GumpYan/p/5704642.html

總結

以上是生活随笔為你收集整理的Web安全1沙箱隔离的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。