上次我说过,我们浏览器的主要工作就是把HTML,JavaScript,CSS等文件从服务器端取下来,然后解析、渲染,展示成美奂美伦的页面呈现给人类。
我们还替人类保护一个叫做Cookie的小东西,网站会把Cookie发送给浏览器让我们保存起来,等到访问同一个网站的时候,我们再把他发过去。
这个Cookie用来证明某个用户已经和服务器交互过,更重要的是证明已经登录过系统,不用再次登录了。
JavaScript这小子在我们这里承担了越来越重要的职责,从对DOM树的改动,到利用AJAX访问服务器端,他可以说是风光无限。
(详情参见上一篇文章《一个浏览器的自述:我是这么运行的(上)》)
可是我们都忽视了一个重要的问题:安全,这个东西差点让我们家族遭受灭顶之灾。
2、Cookie失窃
有一天,我的主人登录了"爱存不存"银行(www.icbc.com),这个银行网站给我发了一个Cookie,证明主人登录过了, 主人在“爱存不存”银行网站做了一些操作,但是忘记了退出,然后开了一个新的Tab页访问了一个叫做www.beauty.com ,我知道这个网站不怀好意,拼命地提醒主人,但是他仍然经不住网站上那些图片的诱惑,执意把这个网站打开。
我没有办法,只好下载这个不怀好意网站的HTML,JavaScript,CSS, 让我没有想到的是这里的JavaScript竟然想访问“爱存不存”银行的Cookie。
“这个Cookie是爱存不存银行给我的,不属于www.beauty.com,你为啥要访问?” 我问他。
“没事,我好奇,想看看别的网站的Cookie长什么样” 他轻松地回答。
我将信将疑地把Cookie给了他,他不知道做了什么花样,似乎是往www.beauty.com发了一个请求,然后就把Cookie还给了我。
很快我的主人就发现,他在“爱存不存”银行的私房钱不翼而飞了。
FireFox嘲笑我说:“你这个家伙啊,怎么能够把Cookie这么重要的东西随随便便地给别人呢? ‘爱存不存’银行的Cookie被黑客偷走了,那些黑客不用登录就可以冒充用户在‘爱存不存’网站做操作了。”
“啊? 有这么严重? 可他是JavaScript,照理说可以访问啊?”
“唉,你要知道,这个JavaScript和那个Cookie不是同一个网站的,怎么能访问呢。”
由于这件事,主人再我不理我了,从此开始宠幸FireFox。
3、密码失窃
FireFox也没得意很久,他也很快中了招。
这一次,主人还是忍不住去www.beauty.com看图片,FireFox这次很小心,不把任何别的网站的Cookie发给这里的JavaScript。
但这一次beauty.com改变了策略,它用iframe的方式放置了一个 *** 的登录网页到beauty.com页面中, *** 恰恰是主人最喜欢的,主人一看,不错啊,还有快捷登录方式,于是主人就输入了自己真实的用户名和密码,没想到Beauty.com的JavaScript 已经把这个 *** 登录Form的action指向了自家网站,等到主人点了登录按钮以后, 用户名和明文的密码就这样被窃取了。
各位朋友想要知道AU响声如何制作水中实际效果吗?下边便是我梳理Audition设定水中视频语音组成实际效果的方法步骤,赶快看来一下吧,期待能协助到大伙儿哦! 各位朋友想要知道AU响声如何制...
但不知道从何时起,黑安妮海瑟薇在美国好像变成了一个潮流。盲目黑,跟风黑,甚至连笑一下说句话都能在推特上被“批斗”。据了解,2013年奥斯卡颁奖典礼时。 虽然安妮海瑟薇停留在中国观众眼中,它是公认的完美...
春韵寻味茶叶价格表批发价查询 寻味茶叶361斤 3676元/提 寻味茶叶154盒 5482元/罐 寻味茶叶487克 7290元/箱 寻味茶叶332斤 1113元/盒...
Email:linhai0812@21cn.comhttp://1.acfun.tv if (!String.IsNullOrEmpty(typeValue = context....
每个人都喜欢欣赏美的风景,当看到一个好看的人,在很多时候会加很多的印象分,在生活以及工作上会有很多的好处,那么,长得好看好有什么好处?下面友谊长存小编就来说说。 长得好看有什么好处 1、遇到搞不定...
许多 母亲会在夏季带小宝宝去游泳,如今也是有专业给小婴幼儿游泳的地区,下边的我就而言说:6个月小宝宝用泳圈好么 夏季婴幼儿游泳要应用泳圈吗 6个月小宝宝用泳圈好么 夏天的感觉愈来愈浓了,在夏季最舒...