客户端安全相关知识点

• 攻击的目的

• 取得在线敏感数据和敏感操作
• 利用客户的浏览器
• 执行js做提交或者取得cookie认证

• 本质

• 取得认证：Cookie

• 影响Cookie认证信息的几个重要属性

• Domain：向哪些域发送本cookie
• Path：向哪些路径发送本cookie
• Secure：向非ssl服务发送本cookie
• Httponly：利用javascript获取本cookie
• P3p：当页面作为iframe等html标签嵌入时，ie是否接受并且发送本cookie

• 影响客户端发送或者获取数据的Domain同源策略

• 客户端脚本的安全性标准
• 同协议，同域名，同端口

• 取得操作数据的权限：ajax/csrf
• P3p

• 应对方案

• 从架构上解决问题

• 设计时需要考虑的

• 我们的Cookie认证信息真的需要设置到整个域么
• 不同安全级别的服务可以放到一个域下么
• 前台和后台在安全等级上是分开的，真的分开了么
• 我们重要的业务真的已经独立开来了么

• 解决

• 认证cookie和应用程序cookie独立开（保护认证）
• Httponly(放到哪个域名)
• 应用程序后台敏感操作和前台操作域名独立（同源策略）
• 慎用p3p

• XSS防御方案

• 过滤输入中的特殊符号
• 区分富文本和非富文本，encode非富文本
• 对富文本开始做语法树分析
• 加强表单验证
• ……

• 从设计上解决问题

• 信任域的划分是安全设计的基础
• 访问控制系统是安全设计的核心
• 数据与代码分离是安全设计的表现
• 白名单与不可预测性是安全设计的保障