病毒攻击与防治实验题稿.docxVIP

中南大学《病毒攻击与防治》实验报告题 目 网络浏览器访问控制实验姓名学号指导教师学 院 专业班级 完成时间 实验简介现在的web浏览器的安全模型是基于同源策略，并提供一些基于Web应用程序的保护功能；这个实验的目的是帮助大家对同源策略有一个很好的理解，这将对我们学习跨站脚步攻击和跨站请求伪造有很大帮助。实验背景Web浏览器本质上是与sites/web applications 1代表其用户进行交互的用户代理。通常，用户访问一个网站使用Web浏览器 - Web浏览器将HTTP请求转发到网站上代表其用户，并反过来显示由该网站的响应返回的网页。 Web浏览器使用的安全模型被称为同源策略（SOP）用于执行对Web应用程序的一些访问限制。SOP的标识每个网站使用它的起源，这是hprotocol，域PORTI的一个独特的组合，并创建一个上下文为每个原点。对于每个源，所述web浏览器生成的上下文，并将该web应用程序的资源，从上下文中的原点。从一个出身JavaScript程序不得从其他产地访问资源。cookie和文档对象模型（DOM）对象是为哪SOP施加的web应用资源的例子。此外，JavaScript程序可以使用XMLHttpRequest API HTTP请求发送到Web应用程序。 SOP的也扩展到使用的XMLHttpRequest API。首先，我们将提供cookie，DOM对象和XMLHttpRequest API一些背景。然后，我们描述了实验室的任务，这将导致学生调查SOP以及它如何影响使用cookies，DOM对象和XMLHttpRequest API预备知识1、什么是同源策略同源：如果两个页面使用相同的协议(protocol)，端口和主机（域名），那么这两个页面就属于同一个源。同源策略：限制了一个源(origin)中加载文本或脚本与来自其他源中资源的交互方式；是客户端脚本（尤其是Javascript）的重要的安全度量标准。重点：同源策略认为来自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时，它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源；拓展：单源策略（Single Origin Policy），它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性和完整性。同源策略能阻止网站脚本访问其他站点使用的脚本，同时也阻止它与其他站点脚本交互。2、什么是DOMCookie？DOM：文档对象模型(Document Object Module)，是处理可扩展标志语言的标准编程接口。Cookie：为了辨别用户身份，进行session跟踪而存储在用户本地终端上的数据(通常经常加密)。3、什么是 XMLHttpRequestXmlHttpRequest，中文可以解释为可扩展超文本传输请求。Xml可扩展标记语言，Http超文本传输协议，Request请求。XMLHttpRequest对象可以在不向服务器提交整个页面的情况下，实现局部更新网页。当页面全部加载完毕后，客户端通过该对象向服务器请求数据，服务器端接受数据并处理后，向客户端反馈数据。 XMLHttpRequest 对象提供了对 HTTP 协议的完全的访问，包括做出 POST 和 HEAD 请求以及普通的 GET 请求的能力。XMLHttpRequest 可以同步或异步返回 Web 服务器的响应，并且能以文本或者一个 DOM 文档形式返回内容。尽管名为 XMLHttpRequest，它并不限于和 XML 文档一起使用：它可以接收任何形式的文本文档。XMLHttpRequest 对象是名为 AJAX 的 Web 应用程序架构的一项关键功能。应用对象：后台与服务器交换数据；作用： 在不重新加载页面的情况下更新网页在页面已加载后从服务器请求数据在页面已加载后从服务器接收数据在后台向服务器发送数据实验步骤及其意义理解DOM和Cookies1.1使用DOM API来显示html的子节点h1的内容源码：sudo vim /var/www/SOP/first.htmlhtmlheadtitleSelf-modifying HTML/titlescriptfunction appendp() //添加h1内容{ var h1_node = document.createElement(h1); h1_node.innerHTML = Self-modifying HTML Document; document.childNodes[0].childNodes[2].appendChild(h1_node); var p_node = document.createElement(p);