详解Chrome 4安全功能

---

　　据国外媒体报道，谷歌在新版Chrome中加入了数项新的安全功能。   　　Chrome 4.0支持在HTTP响应标头（HTTP response header）增加Strict-Transport-Security，以实现让某个网站只能由https访问，而不能由http访问。该技术将更好地防御窃听。Firefox的NoScript已经增加了对它的支持。一些安全级别较高的网站（如Paypal）已经开始使用这些技术。   　　PostMessage API是嵌入富功能通信工具到其他网页代码的方法，其安全性也比以前的方法更高。目前，所有主流浏览器都使用这种方法。   　　Origin Header可以确保来自Web服务器的请求与之前交付页面的请求保持一致，有效地防御跨站点请求伪造攻击（CSRF）。同时，Origin Header的标准仍在商讨中。   　　IE 8现在引入了一种新的HTTP标头X-Frame-Options，以规定该页面是否可以被嵌入在iframe里面，然后是Safari 4浏览器。如今，Chrome 4.0也引入了这项点击劫持防御功能。   　　网络中最常见的攻击方式之一就是XSS (跨站点脚本攻击)。IE8中的XSS过滤器可以保护普通用户即使在访问的网站存在XSS安全漏洞的情况下，也能避免XSS攻击。XSS过滤器可以监控浏览器的HTTP请求和响应。如果发现了可疑的XSS攻击脚本，它就会提示用户，并且自动将恶意的脚本过滤为普通的文本信息显示在页面上。目前，谷歌正在改进XSS过滤器使其支持Webkit渲染引擎，

点击复制文章地址，推荐给QQ和MSN上的朋友