亚洲无码一国产精品,农村性生活黄色片,欧美视频在线kkk

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

抵御跨站攻擊：Mozilla為Firefox90引入元數(shù)據(jù)請求標頭功能

Mozilla 很高興地宣布，F(xiàn)irefox 90 版本將支持基于“元數(shù)據(jù)請求標頭”的獲取功能，使得 Web 應(yīng)用程序能夠保護自身和用戶免受各種跨源威脅。據(jù)悉，此類威脅涵蓋了跨站點請求偽造(CSRF)、跨站點泄露(XS-Leaks)、以及投機性跨站點執(zhí)行側(cè)信道(Spectre)攻擊。

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供達孜網(wǎng)站建設(shè)、達孜做網(wǎng)站、達孜網(wǎng)站設(shè)計、達孜網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、達孜企業(yè)網(wǎng)站模板建站服務(wù)，10余年達孜做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

(圖自：Mozilla Blog)

跨站攻擊的背后，其實涉及 Web 的基本安全問題。出于開放的特性，其難以允許 Web 服務(wù)器端嚴格區(qū)分自身應(yīng)用程序(瀏覽器選項卡)的請求、或源自可能以不同方式打開的惡意(跨站點)應(yīng)用程序的請求。

如上圖所示，假設(shè)用戶登錄了托管于 https://banking.com 的銀行網(wǎng)站，并開展了網(wǎng)銀相關(guān)的某些活動。

與此同時，被惡意攻擊者控制的網(wǎng)站、也可在不同的瀏覽器標簽頁中打開并執(zhí)行來自 https://attacker.com 的一些惡意操作。

于是在用戶正常交互的過程中，網(wǎng)銀 Web 服務(wù)器端可能收到某些例外操作，但卻幾乎無法分辨到底由用戶本人、還是另一標簽頁中的惡意攻擊代碼發(fā)起的操作。

最終導致網(wǎng)銀或常見的 Web 應(yīng)用程序服務(wù)器刻板地接收任意操作，并允許發(fā)起相關(guān)攻擊。

好消息是，從 Firefox 90 開始，Mozilla 將允許 Web 瀏覽器通過 HTTP 請求頭來獲取元數(shù)據(jù)(Sec-Fetch-*)，從而讓 Web 服務(wù)器更好地區(qū)分同源 / 跨站攻擊請求。

借助 Sec-Fetch-* 系列請求標頭中提供的附加上下文(支持 Dest、Mode、Site、以及 User 這四種請求標頭)，Web 服務(wù)器將能夠火眼金睛地拒絕或忽略惡意請求。

Fetch Metadate 請求標頭的啟用，可為各種 Web 應(yīng)用服務(wù)帶來深度防御機制。此外 Firefox 將很快推出新的站點隔離安全架構(gòu)，以進一步解決上述某些問題。

網(wǎng)站題目：抵御跨站攻擊：Mozilla為Firefox90引入元數(shù)據(jù)請求標頭功能
網(wǎng)頁路徑：http://www.5511xx.com/article/dhsgsig.html

新聞中心

其他資訊