浏览器沙盒
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
为了防御攻击,开发者需要减少漏洞并向应用添加安全功能。幸运的是,Web 浏览器提供了许多安全功能。有些选项可供开发者选择启用,而有些则会默认启用以保护用户。
“沙盒”的概念
现代网络浏览器都是基于“沙盒”的理念构建的。沙盒是一种用于在受限环境中运行应用的安全机制。就像游乐场中的物理沙盒一样,孩子们可以在边界内创建他们想要的任何东西,而不会在其他位置造成混乱,同样,应用代码可以在受限的环境中自由执行。例如,JavaScript 可以添加和修改页面上的元素,但可能被限制访问外部 JSON 文件。这是因为有一个称为“Same-origin”的沙盒功能
为什么需要沙盒?
每天,网络用户都会下载任意代码,并在计算机或手机上执行多次。如果有人告诉您“嘿!下载并运行此应用!”消息后,您可能会停下来想一想,该应用是否来自可信来源,仔细阅读应用供应商,或仔细查看评价。如果有人向您发送网址显示“请查看此博文”,该怎么办?您很可能不会点击“此网站会下载哪种 JavaScript?”这样的问题。
浏览器沙盒是一项关键功能,可让您更安全地运行任意代码,从而实现顺畅的网页浏览体验。
从设计上保证安全
如果浏览器会沙盒化每个 Web 应用,我们是否应该关注安全性?当然有!
首先,沙盒功能并不是完美的护盾。尽管浏览器工程师会竭尽全力,但浏览器可能存在漏洞,攻击者总是试图绕过沙盒(例如使用 Spectre Attack)。
沙盒有时可能会妨碍您提供出色的网络体验。例如,浏览器可能会阻止对其他网域上托管的图片的提取请求。您可以通过启用跨域资源共享(简称 CORS)在不同网域上共享资源,但如果操作不谨慎,您可能会向网络上的其他所有人公开资源,实质上是撤消沙盒。
小结
只有将安全性融入应用的设计中,才能实现安全的 Web 体验,而出色的设计始于了解现有功能。下两篇指南深入探讨 CORS 和同源政策。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2018-11-05。
[{
"type": "thumb-down",
"id": "missingTheInformationINeed",
"label":"没有我需要的信息"
},{
"type": "thumb-down",
"id": "tooComplicatedTooManySteps",
"label":"太复杂/步骤太多"
},{
"type": "thumb-down",
"id": "outOfDate",
"label":"内容需要更新"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "samplesCodeIssue",
"label":"示例/代码问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
{"lastModified": "\u6700\u540e\u66f4\u65b0\u65f6\u95f4 (UTC)\uff1a2018-11-05\u3002"}
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["没有我需要的信息","missingTheInformationINeed","thumb-down"],["太复杂/步骤太多","tooComplicatedTooManySteps","thumb-down"],["内容需要更新","outOfDate","thumb-down"],["翻译问题","translationIssue","thumb-down"],["示例/代码问题","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2018-11-05。"],[],[]]