009-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. 本周课程内容涵盖了客户端和服务器端的知识。

2. 通过一个网站示例，讲解了用户界面（UI）和拒绝服务（DoS）攻击的概念。

3. 浏览器提供的API可以分为不同的级别，不同级别的API有不同的限制和权限。

4. 通过多进程的浏览器结构，现代浏览器可以更好地处理恶意网站和弹窗。

5. 介绍了一些常见的UI和DoS攻击方法，以及浏览器对这些攻击的防御措施。

6. 将所有打开的窗口放入数组中，以便在后续的点击中将它们全部置于前台。

7. 可以通过调用preventDefault()函数来阻止特定键盘事件的默认行为。

8. 可以使用API将视频弹出到屏幕的角落，实现画中画效果。

9. 可以通过设置CSS属性cursor来隐藏鼠标指针。

10. 可以通过在弹出窗口中设置目标为搜索页面的方式，将搜索记录添加到浏览器历史记录中。

11. 在严格模式下，打开一个新窗口会导致cookie不被发送，但在宽松模式下会发送。

12. "tab-nabbing"是一种攻击方式，通过在一个页面中打开一个新标签页，然后利用window.opener API来控制原始页面，从而进行钓鱼攻击。

13. 通过添加rel=noopener属性或使用新的HTTP头部，可以防止tab-nabbing攻击。

14. 浏览器的强大功能和安全性之间存在一种平衡，需要权衡利弊来决定是否引入新的API。

15. 浏览器的安全提示对用户的保护作用是有效的，但过多的提示可能会引起用户疲劳。

16. 钓鱼是一种通过冒充可信实体来欺骗用户透露敏感信息的方法。

17. Unicode字符可以用于创建外观相同但计算机视为不同字母的URL，从而导致潜在的钓鱼攻击。

18. Chrome和Safari等浏览器使用puny code将带有Unicode字符的URL转换为更明显的格式，以防止混淆。

19. IDN同形攻击涉及注册与知名公司域名在视觉上相似的域名，以欺骗用户访问钓鱼页面。

20. 使用密码管理器可以帮助防止钓鱼攻击，通过检测陌生的网站并不自动填写密码。

21. 网站可以创建任意长的子域名，可以随意命名，而且是免费的。

22. 浏览器在处理带有子域名的网站时会尝试帮助用户识别真实网站。

23. 一些攻击技术可以欺骗用户，使其误认为自己正在访问真实网站。

24. 密码管理器和硬件安全密钥可以提供一定程度的保护。

25. 一些攻击技术已经被修复，但仍需注意防范。