Google开发的标准进一步保护Web应用程序免受XS-Leak,CSRF等的保护beplay体育能用吗
谷歌的提取元数据请求标头为Web服务器提供额外的安全信息,可以帮助决定是阻止还是允许请求beplay体育能用吗。
它们还允许用户部署资源隔离策略,这是一种强大的深度防御机制。
这不仅可以保护用户免受潜在有害攻击,例如CSRF,跨站点脚本包含(XSSI)和跨站点泄漏(XS-Leaks),但也可以帮助服务器区分跨站点和相同原始请求。
Google的员工信息安全工程师Lukas Weichselbaum,发布博客文章解释如何使用该功能,以及为什么我们都应该使用它。
有关的Google由于冠状病毒问题而导致的Chrome Samesite cookie更改
他说每日swbeplay2018官网ig:“ Web中的许多类别的安全漏洞是由于Web服务器处理认证的请求时缺乏上下文引起的。beplay体育能用吗
“例如,浏览器将cookie附加到请求上,无论它们是由用户启动还是由攻击者控制的文档启动,从而导致诸如CSRF,XSSI,XS-Leaks等漏洞,点击劫机,并通过滥用微体系侧通道攻击(beplay体育能用吗如Spectre)来泄漏Web信息。
“提取元数据请求标头通过向服务器提供简单的枚举来缩小此差距,从而使其丢弃恶意的跨站点流量,从而使开发人员能够一次解决广泛的问题。”
试点计划
在引入获取元数据标头之前,服务器无法区分相同的原始,相同站点或跨站点请求。
通过使用sec-fetch-*标题,开发人员有可能应用安全策略,例如,仅允许其自己的申请提出的合法请求。
Weichselbaum告诉每日swbeplay2018官网ig这很容易实施。Google最初推出了基于三个飞行员的Fetch Metadata的资源隔离策略 - Google Photos,Google Contacts和我的活动。
他说:“我们通常首先在记录模式下启用该政策,这使我们能够确认我们不会阻止任何合法的流量,然后再继续执行。”
“在记录模式下,我们甚至发现了一些用于登录检测的资源的外部用途。由于提取元数据,现在被阻止了。
“同时,默认情况下,所有在我们的核心框架上构建的新应用程序启用了资源隔离,我们正在大规模迁移数百个现有应用程序。”
浏览器支持
尽管应将其用作额外的安全层,但将来所有Web浏览器都可能支持获取元数据标准。beplay体育能用吗
它已经可用于Chrome,Edge,Opera - 毫不奇怪,因为这些浏览器都是基于铬的,并且也一直是启用用于Firefox。
有关的Firefox成为最新的浏览器,以支持提取元数据请求标题
Weichselbaum说:“除了Safari支持外,所有主要浏览器都会提取元数据。对于新的安全功能,这已经是一个令人惊叹的报道!
“野生动物园没有反对这个想法W3C TPAC 2019,我们希望他们一旦获得了一定的吸引力,他们也会实施提取元数据。
“但是,这有点像鸡/鸡蛋问题。有时,浏览器供应商等待实施一项新功能,直到他们看到它正在吸引它,但是要获得吸引力,需要广泛的浏览器支持。”
