005-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. 通过postMessage API进行跨源通信，可以使用iframe加载目标站点，并使用postMessage API发送消息。

2. 在使用postMessage时，发送方需指定允许接收消息的源，接收方需验证发送方的身份。

3. 同源策略的自动例外包括：页面可以嵌入其他源的图片，页面可以提交表单到其他源。

4. 使用SameSite cookies可以限制跨源请求，避免安全问题。

5. Referrer头部可能导致缓存和隐私问题，可以通过设置SameSite cookies或禁用Referrer头部来解决。

6. Cookie相比同源策略更具体和更宽泛，因为它们可以限定在网站的特定路径下，但也可以设置给不同的来源。

7. DNS劫持可以允许攻击者读取不存在域名的cookie，从而导致潜在的安全风险。

8. 引荐者策略可以用来控制在引荐者头中发送的信息，从而有助于防止敏感信息泄漏。

9. 难以防止对站点的链接，但可以检查引荐者并根据其采取不同的行动。

10. 嵌入一个站点可能导致点击劫持等攻击，攻击者可以在合法站点上覆盖自己的内容，并欺骗用户与其进行交互。

11. 通过设置CSS属性，可以使iframe透明，看起来像是隐藏的，但实际上仍然存在。

12. 使用same-site cookies可以防止点击劫持攻击。

13. 通过设置HTTP头部中的deny frame选项，可以防止网页被嵌入到其他页面中。

14. framebusting技术存在漏洞，可以被绕过。

15. 使用新的HTTP头部设置可以有效防止点击劫持攻击。

16. 浏览器可以检查是否同源，以防止跨站请求伪造。

17. 可以使用same-site cookie来防止cookie附加到表单提交中，但无法阻止表单提交。

18. 可以使用origin header来限制浏览器请求其他源的权限。

19. 可以通过检查referer header来阻止图片嵌入。

20. 通过将请求放在脚本标签中，可以绕过同源策略，但无法读取返回的数据。

21. 问题：无法读取执行脚本，只能执行脚本并观察结果。

22. 解决方法：使用JSONP，将JSON数据包装在自定义函数中，与服务器进行通信。

23. JSONP的缺点：服务器需要编写额外的代码来支持跨域请求，需要注意JSON字符串和合法JavaScript之间的差异，可能存在注入攻击。

24. 跨站点包含攻击：为了获取数据，必须在本地网页中嵌入来自其他站点的脚本，这可能导致远程执行攻击。

25. 下次会介绍一种更好的解决方法，并讨论跨站点包含攻击。