面向网页的页面是信息安全战斗区,因为我们打击试图窃取公司秘密的黑客。现代网页经常利用来自多个的资源来源(域名)。这通常会导致漏洞。随着影响新功能的安全性的压力安装,WebMasters从浏览器制造商中有一个越来越多的选项列表,包括用于处理“交叉起源”资源的指令,以帮助防止信息泄漏。
安全措施
您可能已经熟悉
rel =“noopener” ,以确保页面的超文本链接和表单元素具有出站操作的方法,例如打开另一个站点的链接一个新的浏览器选项卡,不允许外部页面的JavaScript访问到内部页面e window.opener 财产。想象一下单击打开一个新选项卡的链接。关闭新选项卡时,原始页面暗中切换到带有网络钓鱼诱饵的页面。 Opener 属性使攻击者能够更改原始选项卡的URL。 您可能会思考:“我永远不会链接到一个页面!”在SEL,我们经常链接到大量页面,我们没有时间来检查源代码。我们使用
rel =“noopener”
,以便我们不必。浏览器制造商给出了我们复杂的安全选项,因此我们可以以各种方式锁定事物,以防止我们暴露在完全暴露于此类攻击。 您可以看到对跨源资源共享的参考(
CORS
)http 回应他涂剂。当您没有控制您的Web服务器时,这在技术上更难以管理。 CORS(访问-Control-允许 – * )值将仅限于您将指定为列表的一组域的访问权限。当您的页面包括分析,广告和其他第三方脚本资源时,那些没有专门在允许列表(使用CORS时)被阻止,并将触发浏览器控制台错误消息,以便您知道。 幽灵熔点
当事情刚刚加热时,浏览器制造商更安全地关闭一个功能。这正是几年前发生的事情,与
SharedArrayBuffers
默认在其首次亮相后6个月禁用,直到最近通过协商一致方式准备了解决方案。亲Blem是概念证明帖子已发布,该帖子展示了访问共享内存的“侧通道”漏洞,比URL切换更严重的问题。以坚果壳,CPU借助于幽灵
易受定时缺陷允许访问SharedArrayBuffers存储数据的存储器缓存。定时漏洞允许恶意软件锻造页面竞争以访问内存和所有其他页面,而不仅仅是通过遵循一个到另一个的链接打开的页面,而且只在浏览器中打开任何页面。
返回SharedArrayBuffers
谷歌的Android Chrome 88和Desktop Chrome 91,以及Firefox 79+,所有现在实现了
SharedArrayBuffers
再次在新的安全策略可以减轻危险的访问权限到私有内存之后。任何没有专门对“允许”列表的资源将被阻止。由于该功能默认为OFF,既然它重新开始,所用的JavaScript API时,它将开始触发阻止动作,当他们事先静默失败时。 webglrenderingcontext
i在停电期间默默地失败的SharedArrayBuffers。安全设置可以容纳它是新的,很少很少有开发人员已经听说过它。作为在谷歌封锁的报告中,谷歌搜索控制台中的通知突然出现可以抓住我们的防护装置。 难以理解的gsc错误电子邮件今天达到了新的高度: #sharedarraybuffers
#coop
#coep
pic.twitter.com/v02i6h6ix – Joost de Valk(@JDevalk) 3月15,2021 实施新的安全政策 在建立CORS政策的时间内从未如此。如果没有安全策略,
第三方资源已经导致足够的伤害,更不用说泄漏你的秘密。只列出您打算在页面中使用的第三方资源。您想要始终“不信任默认情况下
”所有资源,以限制您的风险。然后,故意白名单尽可能少的域名。
当您不管理自己的Web服务器时,某些内容传递网络(CDN)会提供更改响应标题的能力-飞。无论哪种方式,它是一个添加字段名称和值的问题,每行一个指令。 SEO从业者可以使用由站点审查报告驱动的对话框来调用问题第三方资源包含夹杂物,从而可以在一个职位上创建一个在主机上管理Web服务器的人的精制列表。
横向孤立
Sharedar的实施RayBuffers
需要一个安全环境,您可以使用一个或多个响应头指令锁定访问权限。要求的具体政策有权题为横向孤立。配置横向原点隔离,您将添加两个新页眉,Coop和Coep(如下所示),其中包含一个或多个其他安全标题,即CORS和或 CORP ,其单独或组合提供您所列出的横向域。 横向启动器 – 策略:相同 – 原点
跨源嵌入式 – 政策: Require-corp
公开人政策? 相同原点值需要相同的域,以便为一页访问 window.opener 属性。你可以安全LY写入外部“选项卡打开” _blank Target链接没有 Rel =“Noopener”,因为HTTP响应头策略将阻止对 Window.Opener 的外部访问。 使用用于调试的报告 收集统计信息,您可以使用Chrome 报告API 进行针对这些安全策略进行的操作。它是Google使用的相同。当您的网页触发的大量阻塞事件堆积时,Google可能会通知您,就像您是Google搜索控制台用户一样。此外,特定于Chrome 报告到页眉字段可用于将数据单独传输到您自己的存储库。 简单地检查了[中的BOOLEAN状态横虫炎实验的特性 WindowWorwlobalscope API在开发过程中。这样,您可以直接从您的开发工作流程处理这些问题。 if(串口sharedarraybuffer console.log(“跨曲尼透明化:true”)} else {// do别的东西控制台。 为什么我们关心 给出了在灯塔,搜索控制台和错误的情况下触发了您的警告在浏览器控制台中的消息,我们需要了解详细信息,以便为您提供什么。当我们涉及自己的网络开发时,我们希望拥有特定的信息,以便我们可以指导或开展作为我们工作的一部分的修复。对于进一步的技术信息潜水,请签出 SMX的 SEO为开发人员研讨会 ,旨在提供一个讨论可能是搜索引擎优化从业者独特的问题的平台。在实时代码码,我们展示了SEO Savvy Web开发人员在诸如此类的情况下做的事情。信息安全扮演一个重要的角色,如 SharedArrayBuffers , Cookie政策变更,并且许多可能只是在地平线上出现的这些问题。
