《第三方JavaScript编程》——7.5 总结

7.5 总结

本章我们对cookies做了回顾,然后介绍了不同类型Web应用的漏洞:跨站脚本攻击和跨站请求伪造,以及一些会对发布者造成影响,或者是由发布者引起的漏洞。最重要的是永远不要低估或者搁置第三方应用的安全问题。正如我们在本章中所述,每个人的风险都很高,作为第三方JavaScript应用的提供方风险更大。不仅用户信任你使用他们的数据,发布者也信任你使用他们的线上内容,这也是你不得不在应用开发的各个阶段都考虑安全隐患的原因。

针对不同类型的攻击,并没有防御它们的“尚方宝剑”。你可能要用到本章中所介绍的技术,花时间做更多的调研。Web应用的安全性是一个有趣且热门的话题,如果你有兴趣对其进一步了解,我们建议你看一下《Web应用黑客手册》(Web Application Hacker's Handbook)(Wiley, 2008),这是关于Web应用安全性的一个很好的资源。

时间: 2024-09-25 21:34:31

《第三方JavaScript编程》——7.5 总结的相关文章

《第三方JavaScript编程》——第1章 第三方JavaScript介绍 1.1 第三方JavaScript的定义

第1章 第三方JavaScript介绍 本章包括 第三方JavaScript的定义 几个第三方应用实例 实现一个简单的嵌入式微件 了解第三方开发的挑战 第三方JavaScript是一种JavaScript编程模式,可以用来创建高度分布式的Web应用程序.常规的Web应用需要通过一个特定的Web地址访问,而第三方JavaScript创建的应用,只需要引入一些简单的JavaScript脚本就可以加载到任意页面上. 你之前也许就曾遇到过第三方JavaScript.例如广告脚本,它可以在发布者网站上生成

《第三方JavaScript编程》——第1章 第三方JavaScript介绍1.1 第三方JavaScript的定义

第1章 第三方JavaScript介绍 本章包括 . 第三方JavaScript的定义 . 几个第三方应用实例 . 实现一个简单的嵌入式微件 . 了解第三方开发的挑战 第三方JavaScript是一种JavaScript编程模式,可以用来创建高度分布式的Web应用程序.常规的Web应用需要通过一个特定的Web地址访问,而第三方JavaScript创建的应用,只需要引入一些简单的JavaScript脚本就可以加载到任意页面上. 你之前也许就曾遇到过第三方JavaScript.例如广告脚本,它可以在

《第三方JavaScript编程》——1.4 第三方开发的挑战

1.4 第三方开发的挑战 你已经了解了第三方JavaScript是编写高度分发应用的一种强大方式.但是编写在其他人网站上执行的脚本,同传统的JavaScript编程相比有一系列独特的挑战.具体而言,你的代码将在一个完全不受控制.一个不同域的DOM环境中执行.这意味着你必须面对一些难以预料的复杂情况,比如未知的网页上下文,一个同其他第一方.第三方脚本共享的JavaScript环境,甚至浏览器的一些限制.我们快速的浏览一下涉及的挑战. 1.4.1 未知的上下文 当一个发布者在他们的Web页面中引入你

《第三方JavaScript编程》——1.2 第三方JavaScript的用法

1.2 第三方JavaScript的用法 我们已经确切知道了第三方JavaScript是在某个网站上被执行的代码,这就使得第三方代码能够访问到网站的HTML元素和JavaScript上下文.因此,我们可以通过多种方式操作目标页面,例如在文档对象模型(DOM)中创建新的元素.插入自定义的样式表.注册浏览器事件以捕获用户行为.在绝大多数情况下,如同使用JavaScript操作自己的网站或者应用一样,第三方脚本可以执行同样的操作,不同的是,第三方脚本操作的是他人的网站. 拥有了远程操作Web页面的能力

《第三方JavaScript编程》——导读

**前言**第三方JavaScript是从一个远程Web服务的地址获得服务,并在发布者页面上独立运行的客户端代码.第三方JavaScript用于创造高度分布式的Web应用程序,例如从社交微件到数据跟踪分析,到功能齐全的嵌入式应用程序. 本书介绍了第三方JavaScript应用程序的开发,不仅告诉读者如何开发运行在第三方环境的JavaScript代码,也介绍了第三方Web开发的相关技术,包括HTML.CSS和HTTP等.本书适用于有第三方代码开发经验的开发者(例如在自己的网站上运行),也适用于希望

《第三方JavaScript编程》——1.3 开发一个简单的微件

1.3 开发一个简单的微件 在本章前两小节中我们探讨了一些第三方JavaScript的流行用法.你已经了解了在开发微件.数据收集.作为客户端Web服务的API封装等方面是如何运用到它的.希望这能够给你一些启发,当你设计自己的第三方应用程序时候能够了解哪些功能是能够实现的. 现在,你已经看过了一些现实中的实例,是时候开发一些自己的东西了.让我们先从相对简单的入手:一个极其简单的嵌入式微件. 假设你在运行一个提供当地最新天气信息的网站.一般而言,用户直接访问你的网站是为了获得最新的天气消息.但是为了

《第三方JavaScript编程》——1.5 总结

1.5 总结 第三方JavaScript是构建嵌入式和高度分布式Web应用的一种强大的方式.这些应用形形色色,但是我们看其中这三种特定的使用场景:作为可交互的微件,作为被动的脚本收集数据,以及作为开发者的代码库提供第三方Web API的通信.同常规一方独立Web应用开发相比,第三方脚本面临很多挑战.你需要在一个未知的.共享的.且有潜在风险的浏览器环境中执行你的代码.

《第三方JavaScript编程》——7.2 跨站脚本

7.2 跨站脚本 或许Web应用开发者都会遇到的一个尴尬问题,就是跨站脚本(俗称XSS).许多不同的成功攻击案例都是利用了这个安全漏洞,小到将Facebook装扮成MySpace风格的恶作剧[2],大到像金融诈骗这样的严重后果.攻击者利用跨站脚本漏洞可以将自己的代码注入到用户浏览的Web页面中.迄今为止,这是包括第三方JavaScript应用在内的现代Web应用最常见的攻击形式.根据赛门铁克(Symantec)2007年的互联网安全威胁报告[3],在其中所描述所有安全漏洞中,XSS占到了80%的

《第三方JavaScript编程》——第7章 安全性 7.1Cookie,会话和会话窃取

第7章 安全性 本章包括 跨站脚本攻击(XSS) 跨站请求伪造(XSRF) 发布者模拟,点击劫持和拒绝服务 在前面章节中,你已经学到了如何创建一个实用且可配置的第三方应用程序,以及如何同服务端通信,如何验证用户是否能够使用受限或部分受限的功能,本章介绍第三方JavaScript应用所涉及的另外一个重要话题:应用的安全性. 最初,网络非常简单,只是一个相互关联的网站系统.这些网站通常都是普通的文档,并且多数是静态页面.Web服务器的工作就是从文件系统中检索文件,并将其发送到浏览器.在该过程中,工作