标签: 安全
-
网络安全 WEB安全第九课 非HTML类型文件 之一 纯文本文件
除了HTML文档,常用的Web浏览器还可以识别和显示其他若干格式的文件;而浏览器支持的文档类型也只会越来越多。 因为某些文档格式具有强大的脚本能力,以及浏 ...小执念 发布于 2016-8-26 3 9.9K 最后回复 2018-5-4 13:03 -
网络安全 WEB安全第十六课 应对恶意脚本
在前面的内容里,我们讨论了许多浏览器安全机制——现在再回过头来看,可以说这些安全机制几乎都有一个共同的目标:阻止同一个浏览器里恶意内容与其他合法网页 ...小执念 发布于 2016-12-11 3 1.2万 最后回复 2018-5-24 09:57 -
网络安全 WEB安全第六课 HTML语言 之六 框架
框架(frame)能使HTML文档被内嵌和显示在另一个页面中的一块长方形区域里。现在我们用的浏览器都支持好几种框架标签,但要达到这个效果,最常见的方式就 ...小执念 发布于 2016-6-19 4 7.8K 最后回复 2018-5-12 18:20 -
网络安全 WEB安全第六课 HTML语言 之七 特定类型的内容包含
除了文档内容无关的链接跳转和页面框架,HTML还能以较轻量的方式包含其他几种预定义的外部内容。1.图片图片文件可以通过标签进行 ...小执念 发布于 2016-6-19 3 1万 最后回复 2018-5-3 12:26 -
网络安全 WEB安全第七课 层叠样式表 之一 CSS基本语法
随着Web技术在20世纪90年代日渐成熟,网站开发者们日益需要找到一种统一又灵活的方法来设计HTML文档的外观;而当时用的一堆随机无序、与浏览器紧密相关 ...小执念 发布于 2016-6-26 2 9.1K 最后回复 2018-5-5 16:58 -
网络安全 WEB安全第七课 层叠样式表 之二 重新同步的风险
CSS语言无疑深受HTML的影响,所以它和大多数其他语言不同的地方在于,符合规范的CSS解析器在碰到语法错误时,仍会继续工作,直到碰到下一对匹配的尖括号 ...小执念 发布于 2016-6-26 4 1万 最后回复 2018-5-3 22:38 -
网络安全 WEB安全第七课 层叠样式表 之三 字符编码
为了在CSS字符串里使用一些保留字符或有问题的字符,CSS提供了一套不太正统的转义处理策略:用一个反斜杠(\)后面跟1〜6位的十六进制数字。例 ...小执念 发布于 2016-6-26 3 1.2万 最后回复 2018-5-3 23:36 -
网络安全 WEB安全第八课 浏览器端脚本 之三 标准对象层级
JavaScript的运行环境都是围绕一个隐含的根对象构建出来的,这个根对象也是JavaScript程序里所有全局变量和函数的默认命名空间。 除了若干JavaScript语言的内 ...小执念 发布于 2016-7-17 3 9.4K 最后回复 2018-5-5 10:28 -
网络安全 WEB安全第八课 浏览器端脚本 之四 脚本字符编码
JavaScript引擎支持好几种常见的反斜杠方式的字符串编码处理,用于转义引号、HTML标记和内嵌在文本里有问题的字符。这些方法包括:a. ...小执念 发布于 2016-8-7 3 8.8K 最后回复 2018-5-11 14:06 -
网络安全 WEB安全第八课 浏览器端脚本 之五 代码包含模式和嵌入风险
经过前面的讨论,在当前页面的运行环境里执行脚本显然有多种方式。有必要再集中罗列一下几种最常见的方式:1.直接嵌人代码块。...小执念 发布于 2016-8-7 3 1.1万 最后回复 2018-5-12 14:23 -
网络安全 WEB安全第九课 非HTML类型文件 之三 音频与视频
长期以来,IE浏览器器都无法直接播放音频和视频内容,仅有个含糊又无稽的标签,这个标签直到今时今日也只能播放一些简单的MID或WAV文件。由于缺少 ...缘 发布于 2016-8-29 3 1万 最后回复 2018-5-7 20:51 -
网络安全 WEB安全第十课 浏览器插件产生的内容
浏览器插件(plug-in)可谓林林总总,形态各异,最常见的就是用插件在浏览器里显示各种新奇的文件格式,效果类似于显示常规的HTML文件。 浏览器做的只是把收到 ...小执念 发布于 2016-9-8 3 9.8K 最后回复 2018-5-7 10:24 -
网络安全 WEB安全第十一课 内容隔离逻辑
浏览器通过隔离来自不同源的文件之间的访问来提供各种安全保障。这个预设前提很简单:来自不同源的两个页面之间不应该彼此交互。当然,实际应用上会更复杂,毕竟 ...小执念 发布于 2016-9-17 3 1.1万 最后回复 2018-5-3 22:37 -
网络安全 WEB安全第十二课 源的继承
某些Web应用依赖于像about:、javascript:和data:这样的伪URL来创建无须包含服务器端内容的HTML页面,这些页面的数据完全来自客户端。由于这么做不涉及常规的HTT ...小执念 发布于 2016-9-26 3 1.1万 最后回复 2018-5-7 09:22 -
网络安全 WEB安全第十三课 同源策略之外的世界
同源策略是限制恶意Web应用肆虐的最重要机制,但它也远未达到完美。尽管同源策略的本意是为两个清晰可辨来源的独立内容提供可靠的隔离,但这个任务也往 ...小执念 发布于 2016-10-2 3 1.1万 最后回复 2018-5-8 16:48 -
网络安全 WEB安全第十五课 内容识别机制
到目前为止,我们已经研究了不少浏览器特性,很多特性的本意是好的,但随着技术的成熟,人们日益认识到它们也是短视和非常危险的。现在就让我们再来看点特别的 ...小执念 发布于 2016-10-22 4 1.1万 最后回复 2018-5-17 12:07 -
网络安全 WEB安全第十九课 浏览器的安全模型限制框架
尽管对同源策略的各种扩展设计很容易理解,但也往往功亏一篑。因为如果建议的修改不能应用到每个代码路径里,或者有某个特定的浏览器不支持,那就会回退 ...小执念 发布于 2017-1-2 2 1.1万 最后回复 2018-5-3 17:13 -
网络安全 WEB安全第二十课 浏览器其他的一些进展
本章之前讨论的安全特性都是在改变Web应用之间的边界以及网站之间交互的方式。还有另外一些提议的机制无法这么简单归类,但它们本身也是重要以及成熟到值得一提 ...缘 发布于 2017-1-3 4 8.5K 最后回复 2018-5-13 18:10 -
网络安全 浏览器们的安全反击战
上次我说过,我们浏览器的主要工作就是把HTML,JavaScript,CSS等文件从服务器端取下来,然后解析、渲染,展示成美奂美伦的页面呈现给人类。我们还替 ...缘 发布于 2018-1-9 3 1.8万 最后回复 2018-1-23 07:45
