Безопасность в JavaScript
Глава 14
Безопасность в JavaScript
JavaScript автоматически предотвращает доступ скриптов одного сервера к свойствам документов на других серверах. Это не даёт скриптам возможность получать закрытую информацию, такую как структура директорий или история пользовательских сессий. В данной главе рассматриваются модели безопасности/security models, имеющиеся в разных релизах JavaScript.
В главе имеются следующие разделы:
-
Политика одного источника
-
Использование маркированных скриптов
-
Использование разрушения данных
Вот история развития безопасности JavaScript:
-
Во всех релизах политика same origin\одного источника является политикой по умолчанию. Эта политика ограничивает возможность получения и установки свойств, основанных на сервере документов. См. "Политика Одного Источника".
-
JavaScript 1.1 использовал data tainting\разрушение данных при доступе к дополнительной информации. См. "Использование Разрушения Данных".
-
JavaScript 1.2 заменил разрушение данных на политику signed script\маркированного скрипта. Эта политика основана на модели безопасности Java под названием object signing\маркировка объекта. Для использования политики маркированного скрипта в JavaScript Вы используете специфические классы безопасности Java и маркируете Ваши скрипты JavaScript. См. "Использование Маркированных Скриптов".