火狐扩展NS-NoScript-ABE-应用边界执行模块-江3.pdfVIP

关于Firefox的技巧的文档 ：侧边栏视图、缩略图视图、by江3如此多娇 //参考 //简介 //参数 //策略格式 ： //站点格式 ： //HTTP类型 ： //动作 ： //举例 //提示/错误记录 ： //参考 //什么是ABE ？参考 ， //ABE Rules .pdf ，官方最新版的标准 //ABE的WEB开发者须知 ， //论坛-ABE ， //NS参数与设置-江3 ， //NS杂记-江3 ， // 一些有必要通过ABE过滤的Sites ， //CSRF_ 百度百科 ， //csrf 攻击 - Google 搜索 ， //CSRF 攻击的应对之道 ， //简介 //ABE是内置防火墙式的功能 ，可以用来防御CSRF、DNS重绑定等几乎所有跨站攻击 ，支持系统和用户自定义规则 ， //ABE与CSP相似 ，并不冲突 ，两者可以互补 //ABE与Chrome的Site Isolation机制相似 ，可以模仿 ， 一些NS 目前有效防御的攻击XSS, CSRF or ClickJacking等攻击有一个基础/前提 ：缺乏在Web应用级别上有效合理的隔离 ； 因为Web起初并未被预见会成为一个应用平台，所以缺少了一些必备的保护Web应用安全的特点。 事实上 ，“Web应用”这个概念都是很难被界定的 ，它的边界也是模糊的 ，特别是在现代这个多媒体和混合式网络时代 ，跨多域的Web应用泛滥 ABE的背后的思想是就是加固“NS已有效提供的”“面向Web应用的”保护 ，通过提供浏览器内置的防火墙试组件 ， 该“防火墙”用来自定义和守护用户相关的敏感Web应用（Webmail、在线银行等）的边界 ， 该“防火墙”的规则/策略可由用户自己、Web开发者/管理员、可信的第三方提供 内置于浏览器 ，ABE模块可以有效的利用它的特权位置来强制划定Web应用边界 ，因为它始终知道真正的HTTP请求源 ，而不是可能丢失或伪造的（即使出于隐私保护 ）HTTP Referer Header 但未来Orig in HTTP header变得广泛使用并可靠 ，ABE会被升级为外部过滤代理。 //参数 user_pref(noscript.ABE.enabled, false);//开启ABE ？ user_pref(noscript.ABE.siteEnabled, true);//ABE允许网站推送自己的规则集？ //user_pref(noscript.asyncNetworking, true);//ABE预拦截HTTP请求与DNS解析异步进行？默认true //Asyncrhonous networking in Gecko 1.9 for ABE preflight requests and DNS checks (can be turned off by noscript.asyncNetworking about:config preference) //Site规则集 ： 通过执行特定的的动作 （Actions ）完成的 ，这些动作本质上是修改或拦截HTTP请求。这些动作采用可读的语法表示为4种规则集 （ruleset ） ABE规则集匹配时是有一定顺序的 ：SYSTEM USER Subsription Site 1 SYSTEM ：系统规则集 ，优先级最高 ，默认自带一个LOCALrodeo策略 ，用来保护”私有网络” 2 USER ：用户定义规则集 ，优先级次之 3 Subscription ：订阅的在线规则集（由可信第三方提供 ），每日更新一次 4 Site ：网站定义的自己的ABE规则集（rules.abe ）, 在HTTPS请求之前加载 ，并缓存一天 ，或者更久（如果与缓存相关的Headers有要求） Site定义的规则集必须保存在跟域名下rules.abe文件中，并且支持HTTPS ，且该文件中的Site行必须与该域名相同才被视为有效。 Rules.abe的具体规则语法与上面的相同！或者叫做 ： //Built-in ：形如“SYSTEM”的规则集 ，是自带的 ，提供针对普遍性的威胁 ，不要轻易改动 //User-defined like the “USER” ruleset, 由用户来自定义规则 //Subscription-provided, 来自第三方中立者提供的规则集 //Site-specific, 网站提供的 ，用来保护自己的网页 Web开发者的Opt-in方式必须满足2个条件 ：SS