我很严肃的对《Web应用安全权威指南》的笔记(3)
我很严肃的 (下一秒变僵尸)
在读 Web应用安全权威指南
- 书名: Web应用安全权威指南
- 作者: 德丸浩
- 页数: 378
- 出版社: 人民邮电出版社
- 出版年: 2014-10
-
第43页
未指定Domain属性时,Cookie只被发送至生成它的服务器。换言之,未指定Domain属性的Cookie发送范围最小,最安全。 设置了Secure属性的Cookie尽在SSL传输的情况下能够被发送给服务器。而未设置安全属性的Cookie则无关是否为SSL传输,都会被发送。 设置了HttpOnly属性也无法彻底抵御跨站脚本攻击,但是能加大攻击的难度。 引自第43页 -
第49页
同源策略(Same Origin Policy)是禁止Javascript进行跨站访问的安全策略。它也是浏览器的沙盒环境所提供的一项制约。 严格来说,“同源”需满足以下全部条件。 - URL的主机(FQDN: Full Qualified Dmoain Name,全称域名)一致。 - Schema(协议)一致。 - 端口号一致。 引自第49页 -
第52页
X-FRAME-OPTIONS是微软公司提出的一种限制frame和iframe访问权限的方案…… X-FRAME-OPTIONS被定义在相应头信息中,值为DENY(拒绝)或者SAMEORIGIN(仅限同源)。指定了DENY的相应将不能显示在frame等的内层中,而SAMEORIGIN的\\ 情况下则仅当与地址栏上显示的域名为同源时才能够被显示。 引自第52页