浏览器存在的安全风险主要包含网络钓鱼、隐私跟踪、数据劫持、浏览器的安全漏洞。 ( 推荐学习:web前端视频教程)
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。网络钓鱼是一种在线身份盗窃方式。
隐私跟踪使用cookie,贩卖用户数据的 Cookie 也可以通过插入第三方 Cookie 实现的,广告跟踪商在受用户欢迎、被广泛访问的网页上放置一个一像素大小的透明图片,这样用户看不到这张图片,但是他还是被加载了,这样广告跟踪商就可以通过这张图片进行 Cookie 插入,不断地追踪用户的浏览记录。
数据劫持,指的是在访问或者修改对象的某个属性时,通过一段代码拦截这个行为,进行额外的操作或者修改返回结果。
比较典型的是 Object.defineProperty() 和 ES2015 中新增的 Proxy 对象。数据劫持最著名的应用当属双向绑定,这也是一个已经被讨论烂了的面试必考题。例如 Vue 2.x 使用的是 Object.defineProperty()(Vue 在 3.x 版本之后改用 Proxy 进行实现)。
浏览器漏洞存在是由于编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处。在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。
黑客们在进行网络攻击的时候主要针对的目标不是操作系统,攻击者紧盯的对象主要是在操作系统中使用的浏览器,说微软的IE浏览器处于十面埋伏不为过,电脑黑客经常利用IE浏览器漏洞进行病毒攻击,使不少用户遭受损失。
而目前很多浏览器都已经有了多种操作系统适用的版本,Windows系统所用的浏览器同样也可被用在其它操作系统中,因此无论你使用的是哪一种操作系统,攻击者都能在浏览器那里找到突破口。
因为目前所有Web浏览器都存在各种各样的漏洞,是黑客最易攻击的对象之一,常见漏洞及风险”组织(CVE)公报的浏览器漏洞就超过300个,每个浏览器厂商的产品都有几十个。
