Browser Security-基本概念

URL格式：

scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]]

下面詳細解釋一下各個部分：

scheme

scheme是協議名不區分大小寫，以冒號結尾，表示需要使用的協議來檢索資源。

URL協議是由IANA（The Internet Assigned Numbers Authority，網際網路數字分配機構）與個標準化組織一同管理的。

下面的網址列舉出目前有的scheme:

http://www.iana.org/assignments/uri-schemes.html

有一些大家很熟悉的例如：http:、https:、ftp:等。

在現實中，一些非正式的協議也會被支援，如javascript等，這可能會有一些安全隱患，將在後面進行討論。

在RFC1738中定義scheme中只能包含字母、數字、+、- ，現實中瀏覽器沒有嚴格的遵守。

IE中會忽略所有的非列印字元ASCII中的0x01到0x1F。

chrome中會跳過0x00即NULL字元。

為了符合RFC1738中的語法規範，每個URL中需要在認證資訊前面加入“//”。

在省略“//”字串的情況下，會造成解析錯誤。

但在個別情況下不會解析錯誤，如mailto:[email protected]?subject= Hello+world，由郵件客戶端開啟的時候不會出錯。

但是由於瀏覽器的特性：

1 http:baidu.com/ 這個地址在最新版Chrome、Safari、Firefox、IE中都可以定向到http://baidu.com/ 。
2 javascript://example.com/%0Aalert(1)
<iframe src="javascript://baidu.com/%0Aalert(1)"> 最新版Chrome、Safari、Firefox、IE中都可以彈出1。

[login[:password]@]

訪問資源的認證資訊（可選），當沒有提供認證資訊時，瀏覽器將嘗試匿名獲取資源。

絕大部分瀏覽器在此部分接受幾乎所有的字元，有兩個例外：

Saferi拒絕 < > { } 字元，Firefox拒絕換行。

(host_name|host_address)

伺服器地址，正常的URL是DNS指向的域名例如baidu.com，或者IPv4地址如127.0.0.1，或IPv6的地址如[0:0:0:0:0:0:0:1]。

雖然RFC中的IP地址只允許規範的符號，但是大多數應用程式呼叫的是標準的C庫，導致會寬鬆很多。

http://127.0.0.1/ 這是一個典型的IPv4地址。

http://0x7f.1/ 這是用十六進位制表示的127.0.0.1

http://017700000001/ 用八進位制表示的127.0.0.1

[:port]

伺服器埠（可選），他表示採用非預設的協議埠來訪問服務，例如http的預設埠80，ftp的21等。

幾乎所有的瀏覽器以及第三方應用使用TCP或UDP作為底層的傳輸方法。

並依靠TCP和UDP的16位埠號分開一臺機器上執行不同服務的通訊。

當使用者將瀏覽器定向到http://mail.example.com:25/而25埠是SMTP服務，不是http服務，可能引起安全問題，後面會討論。

[/hierarchical/path/to/resource[?search_string]

路徑，用來定位伺服器上的資源。

[#fragment_id]]

頁面的某個位置，其功能是讓使用者開啟某個網頁時，自動定位到指定位置上。

在RFC 3986的文件中定義了一個URI的基本結構，定義了沒有特殊意義的字元

0-9 A-Z a-z - . _ ~

以及一些在某些地方可能有特殊意義的字元

: / ? # [ ] @ ! $ ' ( ) * + , ; =

還有一些字元，當他們直接放在Url中的時候，可能會引起解析程式的歧義。這些字元被視為不安全字元，原因有很多。

1 空格：Url在傳輸的過程，或者使用者在排版的過程，或者文字處理程式在處理Url的過程，都有可能引入無關緊要的空格，或者將那些有意義的空格給去掉。
2 引號以及<>：引號和尖括號通常用於在普通文字中起到分隔Url的作用
3 %：百分號本身用作對不安全字元進行編碼時使用的特殊字元，因此本身需要編碼
4 {}|\^[]`~：某一些閘道器或者傳輸代理會篡改這些字元

其他的字元都可以用%加16進位制字串（%nn）來表示，包括%它本身。

由於伺服器可能需要能夠接受那些字元如使用者搜尋那些字元時，此時就採用%nn的方式來轉碼後請求。

導致下面三個URL是等效的：

1、http://example.com/
2、http://%65xample.%63om/
3、http://%65%78%61%6d%70%6c%65%2e%63%6f%6d/

非US-ASCII文字的處理：

對於非ASCII字元，需要使用ASCII字符集的超集進行編碼得到相應的位元組，然後對每個位元組執行百分號編碼。
對於Unicode字元，RFC文件建議使用utf-8對其進行編碼得到相應的位元組，然後對每個位元組執行百分號編碼。

如"中文"使用UTF-8字符集得到的位元組為0xE4 0xB8 0xAD 0xE6 0x96 0x87，經過Url編碼之後得到"%E4%B8%AD%E6%96%87"。

針對域名的編碼：

Punycode是一個根據RFC 3492標準而制定的編碼系統,主要用於把域名從地方語言所採用的Unicode編碼轉換成為可用於DNS系統的編碼。

Punycode可以防止所謂的IDN欺騙。

目前，因為作業系統的核心都是英文組成，DNS伺服器的解析也是由英文程式碼交換，所以DNS伺服器上並不支援直接的中文域名解析。

所有中文域名的解析都需要轉成punycode碼，然後由DNS解析punycode碼。

其實目前所說和各種瀏覽器完美支援中文域名，只是瀏覽器軟體裡面主動加入了中文域名自動轉碼，不需要原來的再次安裝中文域名轉碼控制元件來完成整個流程。

例子：中國.cn，用Punycode轉換後為：xn--fiqs8s.cn

同樣其他語言也是如此。

例如下面的網址列出一個攻擊方式，輸入想要偽造的網址，選擇相近的字元，可以幫你生成一個：

http://www.irongeek.com/homoglyph-attack-generator.php

瀏覽器本身支援的協議：http: https: ftp: file:(之前是local:，用來獲取本地檔案或者NFS與SMB共享)

第三方應用或者外掛支援的協議： acrobat: callto sip: daap: itpc: itms: mailto: news: nntp: mmst: mmsu: msbd:rtsp: 等等。

偽協議：一些保留協議用來呼叫瀏覽器指令碼引擎或者函式，沒有真正取回任何遠端內容，也沒有建立一個獨立的檔案。

如：javascript: data:

data協議例子：data:text/html;base64,PGlmcmFtZS9vbmxvYWQ9YWxlcnQoMSk+

封裝的偽協議：view-source:http://www.example.com/

view-source:是由Chrome與Firefox提出的用來檢視當前頁面原始碼的協議。

其他的類似協議還有jar: wyciwyg: view-cache: feed: hcp: its: mhtml: mk: ms-help: ms-its: ms-itss: