咱们通常提到跨域问题的时候,置信大家首先会想到的是 CORS(跨源资源共享),其实 CORS 只是泛滥跨域拜访场景中安全策略的一种,相似的策略还有:
• COEP: Cross Origin Embedder Policy:跨源嵌入程序策略
• COOP: Cross Origin Opener Policy:跨源凋谢者政策
• CORP: Cross Origin Resource Policy:跨源资源策略
• CORB: Cross Origin Read Blocking:跨源读取阻止
COEP、COOP 这两个新策略我曾经在后面的文章中介绍过了,感兴趣的能够看新的跨域策略:应用 COOP、COEP 为浏览器前端培训创立更平安的环境
明天,我来给大家介绍一下 CORB: Cross Origin Read Blocking (跨源读取阻止)
站点隔离
互联网是一个非常复杂多样的环境,咱们能够在下面做各种事件,有的时候咱们在下面存钱、有的时候在下面看视频,然而你必定不心愿看视频的网站晓得你存了多少钱,所以在浏览器中不同起源的站点不能相互拜访,咱们相熟的另一个名称是:同源策略。
然而很多歹意网站会通过各种奇妙的伎俩绕过这个限度,站点隔离是 Chrome 中的一项平安性能,它提供了额定的防护措施,能够升高此类攻打胜利的可能性。
它能够确保始终将来自不同网站的页面置于不同的流程中,每个流程都在沙箱中运行,以限度流程的执行范畴。它还阻止了从其余站点接管某些类型的敏感数据的过程。
跨域读取阻止
即便所有不同源的页面都处于本人独自的过程中,页面依然能够非法的申请一些跨站的资源,例如图片和 JavaScript 脚本,有些歹意网页可能通过 <img> 元素来加载蕴含敏感数据的 JSON 文件:
<img src=”https://your-bank.example/balance.json”>
<!– Note: the attacker refused to add an alt attribute, for extra evil points. –>
如果没有 站点隔离,则 JSON 文件的内容会保留到渲染器过程的内存中,此时,渲染器会留神到它不是无效的图像格式,并且不会渲染图像。然而,攻击者随后能够利用 Spectre 之类的破绽来潜在地读取该内存块。
Spectre 破绽我也在这片文章介绍过了 新的跨域策略:应用 COOP、COEP 为浏览器创立更平安的环境
攻击者能够应用 <img> 而不是应用 <script> 来将敏感数据提交到内存:
<script src=”https://your-bank.example/balance.json”></script>
跨域读取阻止(CORB)是一项平安性能,它能够依据其 MIME 类型避免 balance 内容进入渲染器过程内存中。
咱们看一下 CORB 的工作形式。网站能够从服务器申请两种类型的资源:
• 数据资源,例如 HTML,XML 或 JSON 文档
• 媒体资源,例如图像,JavaScript,CSS 或字体
应用 CORS 头,如 Access-Control-Allow-Origin: *,网站可能从本人的起源或其余起源接收数据资源。另一方面,媒体资源能够来自任何起源,即便没有容许的 CORS 头。’
如果产生以下状况,CORB 会阻止渲染器过程接管跨域数据资源(即 HTML,XML 或 JSON):
• 资源具备 X-Content-Type-Options: nosniff Header
• CORS 并未明确容许拜访资源
如果跨域数据资源未设置 X-Content-Type-Options: nosniff Header,则 CORB 尝试嗅探响应主体以确定它是 HTML,XML 还是 JSON。这是必须要做的的,因为某些 Web 服务器配置不正确,例如将图像配置为 text/html。
应用 CORB 策略
为了使咱们的网站更加平安,倡议所有网站都开启 CORB,只须要上面的操作:
• 配置正确的 Content-Type。(例如,HTML 资源设置 text/html)。
• 开启 X-Content-Type-Options: nosniff 来避免站点进行主动 MIME 嗅探