# Tìm hiểu nhanh về Security Web (Phần 1)
CORS, CSP, HSTS và một số từ khóa bảo mật web! Sau đây là một số lý do về mà ta nên học về bảo mật web: Bạn là người dùng lo lắng về sự dò dỉ thông tin cá nhân Bạn là một Web Developer và muốn làm cho ứng dụng web trở nên an toàn hơn Bạn muốn nâng cao kiến thức về bảo mật web để chuẩn bị ...
CORS, CSP, HSTS và một số từ khóa bảo mật web!
Sau đây là một số lý do về mà ta nên học về bảo mật web:
- Bạn là người dùng lo lắng về sự dò dỉ thông tin cá nhân
- Bạn là một Web Developer và muốn làm cho ứng dụng web trở nên an toàn hơn
- Bạn muốn nâng cao kiến thức về bảo mật web để chuẩn bị cho các câu hỏi phỏng vấn Vậy, Tôi hi vọng bài viết này sẽ giúp các bạn hiểu một vài từ khóa về bảo mật website
Hai Khái Niệm Cơ Bản Về Security
No one is ever 100% safe.
Không có bất cứ thứ gì là tuyệt đối an toàn.
One layer of protection is not enough.
Một lớp bảo vệ là không đủ.
Cross-Origin Resource Sharing (CORS)
Bạn đã bao giờ nhận được một lỗi trông giống như thế này chưa?
No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access.
Bạn chắc chắn không phải một mình. Sau khi bạn tìm kiếm nó hoặc ai đó nói với bạn về để có được Extention thì vấn đề của bạn mới được giải quyết.
CORS để bảo vệ bạn.
Để giải thích cách CORS giúp bạn, trước tiên hãy nói về cookie, cụ thể là cookie xác thực. Cookie xác thực được sử dụng để thông báo cho máy chủ mà bạn đã đăng nhập và chúng được tự động gửi cùng với bất kỳ yêu cầu nào bạn thực hiện cho máy chủ đó.
Giả sử bạn đã đăng nhập vào Facebook và họ sử dụng cookie xác thực. Bạn bấm vào bit.ly/r43nugi để chuyển hướng bạn đến superevilwebsite.rocks. Một kịch bản trong superevilwebsite.rocks làm cho một yêu cầu phía máy khách để facebook.com gửi cookie xác thực của bạn!
Nếu không c CORS, họ có thể thay đổi tài khoản của bạn mà bạn không hề biết. Cho đến khi, họ đăng bit.ly/r43nugi trên dòng thời gian của bạn, và tất cả bạn bè của bạn nhấp vào nó, và sau đó họ đăng bit.ly/r43nugi trên tất cả các dòng thời gian của bạn bè và sau đó chu kỳ tiếp tục đầu tiên chinh phục tất cả người dùng Facebook và thế giới được tiêu thụ bởi superevilwebsite.rocks. Tuy nhiên, Nếu có CORS, Facebook sẽ chỉ cho phép các yêu cầu có nguồn gốc từ facebook.com để chỉnh sửa dữ liệu trên máy chủ của họ. Nói cách khác, họ sẽ hạn chế chia sẻ tài nguyên gốc. Sau đó bạn có thể yêu cầu… Ở phần tiếp theo mình sẽ nói về CSP, HSTS