据国外媒体报道,谷歌在新版Chrome中加入了数项新的
安全功能。
Chrome 4.0支持在HTTP响应标头(HTTP response header)增加Strict-Transport-Security,以实现让某个网站只能由https访问,而不能由http访问。该技术将更好地防御窃听。
Firefox的NoScript已经增加了对它的支持。一些安全级别较高的网站(如Paypal)已经开始使用这些技术。
PostMessage API是嵌入富功能
通信工具到其他网页代码的方法,其安全性也比以前的方法更高。目前,所有主流
浏览器都使用这种方法。
Origin Header可以确保来自Web服务器的请求与之前交付页面的请求保持一致,有效地防御跨站点请求伪造攻击(CSRF)。同时,Origin Header的标准仍在商讨中。
IE 8现在引入了一种新的HTTP标头X-Frame-Options,以规定该页面是否可以被嵌入在iframe里面,然后是Safari 4浏览器。如今,Chrome 4.0也引入了这项点击劫持防御功能。
网络中最常见的攻击方式之一就是XSS (跨站点
脚本攻击)。IE8中的XSS过滤器可以保护普通用户即使在访问的网站存在XSS安全
漏洞的情况下,也能避免XSS攻击。XSS过滤器可以
监控浏览器的HTTP请求和响应。如果发现了可疑的XSS攻击脚本,它就会提示用户,并且自动将恶意的脚本过滤为普通的文本信息显示在页面上。目前,谷歌正在改进XSS过滤器使其支持Webkit渲染引擎,
近期热点
最新资讯
举报
