浏览器家族的安全反击战

bigsec岂安科技 · 公众号 · · 2017-12-20 18:32

正文

请到「今天看啥」查看全文

“没事，我好奇，想看看别的网站的 Cookie 长什么样” 他轻松地回答。

我将信将疑地把 Cookie 给了他，他不知道做了什么花样，似乎是往 www.beauty.com 发了一个请求，然后就把 Cookie 还给了我。

很快我的主人就发现，他在“爱存不存”银行的私房钱不翼而飞了。

FireFox 嘲笑我说：“你这个家伙啊，怎么能够把 Cookie这么重要的东西随随便便地给别人呢？ ‘爱存不存’银行的 Cookie 被黑客偷走了，那些黑客不用登录就可以冒充用户在‘爱存不存’网站做操作了。”

“啊？有这么严重？可他是 JavaScript，照理说可以访问啊？”

“唉，你要知道，这个 JavaScript 和那个 Cookie 不是同一个网站的，怎么能访问呢。”

由于这件事，主人再我不理我了，从此开始宠幸 FireFox。

密码失窃

FireFox 也没得意很久，他也很快中了招。

这一次，主人还是忍不住去 www.beauty.com 看图片，FireFox 这次很小心，不把任何别的网站的 Cookie 发给这里的 JavaScript。

但这一次 beauty.com 改变了策略，它用 iframe 的方式放置了一个淘宝的登录网页到 beauty.com 页面中，淘宝恰恰是主人最喜欢的，主人一看，不错啊，还有快捷登录方式，于是主人就输入了自己真实的用户名和密码，没想到 Beauty.com 的 JavaScript 已经把这个淘宝登录 Form 的 action 指向了自家网站，等到主人点了登录按钮以后，用户名和明文的密码就这样被窃取了。

于是 FireFox 也被打入冷宫。

家族会议

黑客猖獗，类似的安全事故不断出现，我们家族的成员纷纷中招，家族赶紧召集会议，商量对策，防止人类把我们家族给废掉。

我和 FireFox 在会议上声讨现在的人类实在是喜欢访问那些不良网站，族长 Mozilla 说没办法这是人类的本性，无论如何也无法改变，如果改了就不是人类了。

“虽然我们控制不了人类的行为，但是我们浏览器家族可以做点改变，增加安全性！” Mozilla 族长充满正义感和使命感，他下达了一个命令： “以后我们家族确定一条铁规：除非两个网页是来自于统一‘源头’，否则不允许一个网页的 JavaScript 访问另外一个网页的内容，像 Cookie，DOM，LocalStorage 统统禁止访问！ ”

我仔细咂摸这句话的含义，其实是说各个网页如果不同源的，就被隔离了，只能在自己的一亩三分地中折腾。

“什么叫同一个源头？” FireFox 问道。

“就是说 {protocol,host,port} 这三个东西必须得一样！我给你们举个例子，例如有这么一个网页： http://www.store.com/product/page.html，下面的表格列出了各种不同情况。