沙盒浏览器运行HTML &JS
Sandboxing a browser that runs HTML & JS Only
我最近读了chromium沙盒架构概述和多进程架构高层设计。开发人员声称他们在特权外部进程中运行标签和web应用程序,主要有两个原因:
1)防止浏览器在标签或web应用程序崩溃的情况下崩溃。
2)各种安全原因。
我读到的安全原因主要是通过Win32 API更改用户的系统配置。
现在让我们假设我开发了一个使用Webkit和V8 JS引擎的web浏览器,并且不允许在浏览器内执行浏览器扩展和flash。
此外,让我们假设应用程序崩溃不是问题。
1)通过实现沙盒架构我能获得什么优势?
2)纯Javascript代码可以访问内存'文件系统或调用任何不需要的windows API函数?
3)我不知道的其他安全问题是什么?
多年来人们一直被网络浏览器入侵,这是一个愚蠢的问题。当然,可以使用JavaScript来访问shell。这是基于浏览器的开发的基础。不仅是JavaScript,格式错误的HTMl和CSS也经常被用来破坏内存并获得远程代码执行。WebKit是新的,它有很多安全问题。保持WebKit的更新,否则你会被黑客攻击。
应该注意的是,JavaScript运行在沙箱中,这将阻止它访问您的机器或其他网站上的重要资源,我们称之为同源策略。谷歌为Chrome引入了另一个沙箱,试图阻止远程代码执行,作为一种深度防御和多层安全的方法。
相关文章:
- 在向下滚动JS/HTML/CSS wordpress网站时替换徽标图像
- 将Rails后端添加到JS/HTML/CSS应用程序时,正确的文件位置是什么
- 可以't在Angular js/HTML中获取单个记录
- 如何在angular js/HTML中处理数组
- JS HTML CSS Accordion
- 当包含在CSS/JS/HTML中时,我如何得出正确的目录路径
- JS/HTML function
- 如何在JS/HTML中将函数输出发送到表单元格
- 挖空 JS html 绑定返回奇怪的代码而不是 html 字符串
- 下划线.js HTML 元素中的模板
- Knockout.js - “html”绑定中的“值”绑定
- Angular.js & HTML / 如何并排组合 2 个元素
- DevExpress (JS / HTML) 将事件附加到弹出窗口中的元素
- 将数据从 C# 传递到 angular js html
- 我如何在我的 AngularJS 中获取这个 D3.js HTML 元素,以便我可以操作它
- 强制设备方向通过 CSS/JS/HTML 横向
- 动态更新地铁列表在水平滚动时查看 (JS/HTML)
- WinJS UI JS/HTML 控件是否可以在 Metro 之外使用
- 如何使网页一次只能访问一次?(JS+HTML)
- 如何在 JS / HTML 中添加更改图像的文本