
抵御跨站攻擊:Mozilla為Firefox 90引入元數(shù)據(jù)請(qǐng)求標(biāo)頭功能
Mozilla 很高興地宣布,F(xiàn)irefox 90 版本將支持基于“元數(shù)據(jù)請(qǐng)求標(biāo)頭”的獲取功能,使得 Web 應(yīng)用程序能夠保護(hù)自身和用戶免受各種跨源威脅。據(jù)悉,此類威脅涵蓋了跨站點(diǎn)請(qǐng)求偽造(CSRF)、跨站點(diǎn)泄露(XS-Leaks)、以及投機(jī)性跨站點(diǎn)執(zhí)行側(cè)信道(Spectre)攻擊。
(圖自:Mozilla?Blog)
跨站攻擊的背后,其實(shí)涉及 Web 的基本安全問(wèn)題。出于開放的特性,其難以允許 Web 服務(wù)器端嚴(yán)格區(qū)分自身應(yīng)用程序(瀏覽器選項(xiàng)卡)的請(qǐng)求、或源自可能以不同方式打開的惡意(跨站點(diǎn))應(yīng)用程序的請(qǐng)求。
如上圖所示,假設(shè)用戶登錄了托管于 https://banking.com 的銀行網(wǎng)站,并開展了網(wǎng)銀相關(guān)的某些活動(dòng)。
與此同時(shí),被惡意攻擊者控制的網(wǎng)站、也可在不同的瀏覽器標(biāo)簽頁(yè)中打開并執(zhí)行來(lái)自 https://attacker.com 的一些惡意操作。
于是在用戶正常交互的過(guò)程中,網(wǎng)銀 Web 服務(wù)器端可能收到某些例外操作,但卻幾乎無(wú)法分辨到底由用戶本人、還是另一標(biāo)簽頁(yè)中的惡意攻擊代碼發(fā)起的操作。
最終導(dǎo)致網(wǎng)銀或常見的 Web 應(yīng)用程序服務(wù)器刻板地接收任意操作,并允許發(fā)起相關(guān)攻擊。
好消息是,從 Firefox 90 開始,Mozilla 將允許 Web 瀏覽器通過(guò) HTTP 請(qǐng)求頭來(lái)獲取元數(shù)據(jù)(Sec-Fetch-*),從而讓 Web 服務(wù)器更好地區(qū)分同源 / 跨站攻擊請(qǐng)求。
借助 Sec-Fetch-* 系列請(qǐng)求標(biāo)頭中提供的附加上下文(支持 Dest、Mode、Site、以及 User 這四種請(qǐng)求標(biāo)頭),Web 服務(wù)器將能夠火眼金睛地拒絕或忽略惡意請(qǐng)求。
Fetch Metadate 請(qǐng)求標(biāo)頭的啟用,可為各種 Web 應(yīng)用服務(wù)帶來(lái)深度防御機(jī)制。此外 Firefox 將很快推出新的站點(diǎn)隔離安全架構(gòu),以進(jìn)一步解決上述某些問(wèn)題。
Mozilla Firefox 90 下載地址:
http://ftp.mozilla.org/pub/firefox/releases/90.0/
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

隨時(shí)掌握互聯(lián)網(wǎng)精彩
- 1 看總書記關(guān)心的清潔能源這樣發(fā)電 7904784
- 2 今年最強(qiáng)臺(tái)風(fēng)來(lái)襲 7808370
- 3 澳加英宣布承認(rèn)巴勒斯坦國(guó) 7713882
- 4 長(zhǎng)春航空展這些“首次”不要錯(cuò)過(guò) 7619430
- 5 43歲二胎媽媽患阿爾茨海默病 7522500
- 6 iPhone 17橙色斜挎掛繩賣斷貨 7424549
- 7 女兒發(fā)現(xiàn)父親500多萬(wàn)遺產(chǎn)用于保健 7328355
- 8 英國(guó)航母從南?!傲锪恕?/a> 7233958
- 9 三所“零近視”小學(xué)帶來(lái)的啟示 7143448
- 10 中國(guó)消失的森林正“全盤復(fù)活” 7045857