Bài giảng An ninh mạng - Bài 7: An toàn dịch vụ web - XSS & CSRF. Sau khi học xong chương này, người học có thể hiểu được một số kiến thức cơ bản về: Hiển trị (rendering) nội dung trang web, Document Object Model (DOM), chính sách cùng nguồn (SOP), tấn công dạng Cross Site Scripting (XSS), tấn công dạng cross site request forgery. | BÀI 7. AN TOÀN DỊCH VỤ WEB XSS amp CSRF Bùi Trọng Tùng Viện Công nghệ thông tin và Truyền thông Đại học Bách khoa Hà Nội 1 Nội dung Xử lý trang web tại trình duyệt XSS CSRF 2 https tailieudientucntt 1 1. XỬ LÝ TẠI TRÌNH DUYỆT Bùi Trọng Tùng Viện Công nghệ thông tin và Truyền thông Đại học Bách khoa Hà Nội 3 Tương tác trình duyệt Web-Web server HTTP Request GET POST HEAD PUT HTTP Response HTML Page JS file CSS file image . Hiển thị Database Queries 4 https tailieudientucntt 2 Hiển trị rendering nội dung trang web Mô hình xử lý cơ bản tại trình duyệt mỗi cửa sổ hoặc 1 frame Nhận thông điệp HTTP Response Hiển thị Xử lý mã HTML CSS Javascripts Gửi thông điệp HTTP Request yêu cầu các đối tượng khác nếu có Bắt và xử lý sự kiện Các sự kiện có thể xảy ra Sự kiện của người dùng OnClick OnMouseOver Sự kiện khi hiển thị OnLoad OnBeforeUnload Theo thời gian setTimeout clearTimeout 5 Ví dụ My First Web Page My first paragraph. Try it 6 https tailieudientucntt 3 Document Object Model DOM Tổ chức các đối tượng của trang HTML thành cấu trúc cây Cung cấp API hướng đối tượng để tương tác Ví dụ Thuộc tính Phương thức Bao gồm cả đối tượng của trình duyệt Browser Object Model - BOM window document frames history location 7 DOM Ví dụ Example . Alice document head body title . a Alice 8 https tailieudientucntt 4 DOM Ví dụ khác . flip 0 function flipText var x myid .firstChild if flip 0 Bob flip 1 else Alice flip 0 document Alice script a flipText Alice 9 Javascript Ngôn ngữ cho phép xây dựng các script để trình duyệt thực thi Được nhúng vào các trang web mà server trả về cho client Thường sử dụng để tương tác với DOM Khả năng tương tác rất mạnh Thay đổi nội dung trang web Theo dõi các sự kiện trên trang web bao gồm cả hành vi của người dùng rê chuột .