Cette année, j'ai collaboré avec Noam Rosenthal sur la normalisation d'une nouvelle fonctionnalité de plate-forme Web: ajustant dynamiquement la taille et la résolution de l'image. Succès! Cependant, le voyage était une courbe d'apprentissage abrupte.
Bien que je prévoyais des défis tels que les commentaires du navigateur et les obstacles techniques imprévus, j'ai sous-estimé l'impact sur les principes de sécurité Web et de confidentialité. Ma compréhension préalable de ces principes était insuffisante.
Notre objectif était de modifier la taille d'affichage par défaut des images. Une image 800x600, par défaut, rend les pixels CSS 800x600. Il s'agit de sa taille intrinsèque (ou de sa taille naturelle), avec une densité par défaut de 1x.
Le défi est apparu lors du service d'images de densité élevés, faibles ou variables sans CSS ni HTML. Il s'agit d'un besoin courant pour des h?tes d'image comme mon employeur, Cloudinary.
Notre solution impliquée:
- Les navigateurs lisent et appliquent des métadonnées dans les ressources d'image pour déclarer la taille et la résolution de l'affichage prévus.
- Respect par défaut du navigateur pour ces métadonnées, remplacée via CSS (
image-resolution) ou le balisage (descripteursxdesrcset).
Cela semblait un son - flexible et en s'appuyant sur les modèles existants. Cependant, la rédactrice en chef de HTML Spec, Anne Van Kesteren l'a rejetée, citant une violation de la politique d'origine homosexuelle (SOP). L'orientation de l'image a également besoin d'une réévaluation. La capacité de basculer les effets des métadonnées exige via CSS / HTML a violé la SOP.
Ma compréhension initiale de la SOP s'est limitée aux erreurs CORS. Maintenant, cela entrave un projet majeur. J'ai d? apprendre!
Mes principaux à retenir:
- SOP n'est pas une seule règle, ni uniquement sur les erreurs CORS.
- C'est une philosophie évolutive, mise en ?uvre de manière incohérente.
- Le principe de base est que les limites de la sécurité et de la confidentialité du Web sont définies par les origines . L'origine partagée implique une interaction sans restriction; Sinon, les restrictions s'appliquent.
- De nombreuses interactions cross-originaux sont autorisées. Les sites Web peuvent généralement écrire à travers les origines (demandes de poste) et intégrer des ressources d'origine transversale (iframes, images). Cependant, la lecture des ressources d'origine transversale en JavaScript nécessite une autorisation explicite (COR).
- Surtout, la prévention des lectures de l'origine transversale protège la confidentialité des utilisateurs. Chaque utilisateur voit un Web personnalisé, influencé par les cookies et le contexte local. Permettre aux sites Web de lire les données d'autres sites via le navigateur d'un utilisateur serait un défaut de sécurité majeur.
SOP concerne principalement la prévention des lectures des originaux. D'autres actions croisées sont souvent autorisées par défaut.
Le problème de la taille de l'image / de la résolution:
Imaginez https://coolbank.com/hero.jpg , renvoyant un contenu différent en fonction de l'état de connexion de l'utilisateur. La version connectée peut inclure des informations de résolution EXIF, tandis que la version déconnectée ne le fait pas. Un acteur malveillant pourrait intégrer cette image, vérifier sa taille intrinsèque (avec et sans exif), déduire le statut de connexion et potentiellement lancer des attaques de phishing.
Tout en n'accédant pas aux données de pixels (en raison de COR), l'acteur gagne des informations sur les origines - une violation.
Notre solution: Dans les contextes croisés, les modifications EXIF ??sont toujours appliquées, ce qui rend les informations illisibles. Une image avec une taille spécifiée par EXIF ??rendra toujours en fonction de cette taille, indépendamment des remplacements CSS.
Comprendre SOP a clarifié d'autres concepts de sécurité Web:
- La contrefa?on de demande de site transversal (CSRF) exploite l'allocation par défaut des écritures d'origine croisée.
- Les contr?les de la politique de sécurité du contenu (CSP) ont permis des intérêts , aborder les vulnérabilités de script inter-sites (XSS).
- COOP, COEP, CORP et CORB visent à éliminer les interactions d'origine croisée, à s'attaquer aux incohérences dans la mise en ?uvre de la SOP et à atténuer les vulnérabilités comme Spectre.
En bref:
- La sécurité Web et la confidentialité sont robustes, en fonction des restrictions d'interaction basées sur l'origine.
- Les lectures d'origine transversale sont interdites par défaut pour protéger la confidentialité des utilisateurs.
- Toute lacune SOP, aussi petite, est un risque de sécurité.
Mon expérience 2020 a souligné l'importance critique de la SOP et la nécessité de pratiques de sécurité Web strictes. Un avenir plus s?r et plus s?r nécessite une défense inébranlable de ces principes.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Tutoriel CSS pour créer des filateurs et des animations de chargement
Jul 07, 2025 am 12:07 AM
Il existe trois fa?ons de créer un rotateur de chargement CSS: 1. Utilisez le rotateur de base des frontières pour obtenir une animation simple via HTML et CSS; 2. Utilisez un rotateur personnalisé de plusieurs points pour atteindre l'effet de saut à travers différents temps de retard; 3. Ajoutez un rotateur dans le bouton et basculez les classes via JavaScript pour afficher l'état de chargement. Chaque approche souligne l'importance des détails de conception tels que la couleur, la taille, l'accessibilité et l'optimisation des performances pour améliorer l'expérience utilisateur.
ATTENTION DES PROBLèMES ET PRéFIXES DE COMPATIBILITé DE BROWSER CSS
Jul 07, 2025 am 01:44 AM
Pour faire face à la compatibilité du navigateur CSS et aux problèmes de préfixe, vous devez comprendre les différences de prise en charge du navigateur et utiliser raisonnablement les préfixes des fournisseurs. 1. Comprendre les problèmes communs tels que Flexbox et le support de la grille, Position: Sticky Invalid et les performances d'animation sont différentes; 2. Vérifier l'état du support de la fonction de confirmation de Caniuse; 3. Utilisez correctement -webkit-, -moz-, -ms-, -o- et autres préfixes du fabricant; 4. Il est recommandé d'utiliser AutopRefixer pour ajouter automatiquement les préfixes; 5. Installez PostCSS et configurez le navigateur pour spécifier le navigateur cible; 6. Gérer automatiquement la compatibilité pendant la construction; 7. Les fonctionnalités de détection modernizr peuvent être utilisées pour les anciens projets; 8. Pas besoin de poursuivre la cohérence de tous les navigateurs,
Quelle est la différence entre l'affichage: en ligne, affichage: bloc et affichage: bloc en ligne?
Jul 11, 2025 am 03:25 AM
HEMAINDIFFERENCESBetweendisplay: Inline, Block, Andinline-BlockInhtml / CSSareLayoutBehavior, SpaceUsage et StylingControl.1.InlineElementsflowWithText, Don'tStartNewLines, Ignorewidth / Height, AndonlyApplyhorizontalPadding / Marges - IdealForninetLetetStyLinSing
Styling visité les liens différemment avec CSS
Jul 11, 2025 am 03:26 AM
La définition du style de liens que vous avez visité peut améliorer l'expérience utilisateur, en particulier dans les sites Web à forte intensité de contenu pour aider les utilisateurs à mieux naviguer. 1. Utilisez CSS: Pseudo-classe visité pour définir le style du lien visité, tels que les changements de couleur; 2. Notez que le navigateur permet uniquement la modification de certains attributs en raison des restrictions de confidentialité; 3. La sélection des couleurs doit être coordonnée avec le style global pour éviter la brutalité; 4. Le terminal mobile peut ne pas afficher cet effet et il est recommandé de le combiner avec d'autres invites visuelles telles que les logos auxiliaires ic?nes.
Création de formes personnalisées avec CSS Clip Path
Jul 09, 2025 am 01:29 AM
Utilisez l'attribut Clip-Path de CSS pour recadrer des éléments en formes personnalisées, telles que les triangles, les encoches circulaires, les polygones, etc., sans compter sur des images ou des SVG. Ses avantages incluent: 1. Prend en charge une variété de formes de base telles que le cercle, l'ellipse, le polygone, etc.; 2. Ajustement réactif et adaptable aux terminaux mobiles; 3. Facile à l'animation, et peut être combiné avec le survol ou le javascript pour obtenir des effets dynamiques; 4. Il n'affecte pas le flux de disposition et ne culte que la zone d'affichage. Les usages communs sont tels que le chemin de clip circulaire: cercle (50pxatcenter) et trame de clip Triangle: polygone (50% 0%, 100 0%, 0 0%). Avis
Comment créer des images réactives à l'aide de CSS?
Jul 15, 2025 am 01:10 AM
Pour créer des images réactives à l'aide de CSS, elle peut être principalement réalisée grace aux méthodes suivantes: 1. Utilisez la largeur maximale: 100% et hauteur: Auto pour permettre à l'image de s'adapter à la largeur du conteneur tout en maintenant la proportion; 2. Utilisez les attributs SRCSET et tailles de HTML pour charger intelligemment les sources d'image adaptées à différents écrans; 3. Utilisez l'objet-ajustement et la position d'objet pour contr?ler le recadrage d'images et l'affichage de la mise au point. Ensemble, ces méthodes garantissent que les images sont présentées clairement et magnifiquement sur différents appareils.
Démystifier les unités CSS: PX, EM, REM, VW, VH Comparaisons
Jul 08, 2025 am 02:16 AM
Le choix des unités CSS dépend des exigences de conception et des exigences réactives. 1.PX est utilisé pour la taille fixe, adaptée à un contr?le précis mais au manque d'élasticité; 2.EM est une unité relative, qui est facilement causée par l'influence de l'élément parent, tandis que REM est plus stable en fonction de l'élément racine et convient à la mise à l'échelle globale; 3.VW / VH est basé sur la taille de la fenêtre, adaptée à la conception réactive, mais l'attention doit être accordée aux performances sous des écrans extrêmes; 4. Lors du choix, il doit être déterminé en fonction de la question de savoir si les ajustements réactifs, les relations de hiérarchie d'éléments et la dépendance de la fenêtre. Une utilisation raisonnable peut améliorer la flexibilité et la maintenance de la disposition.
Quelles sont les incohérences courantes du navigateur CSS?
Jul 26, 2025 am 07:04 AM
Différents navigateurs ont des différences dans l'analyse CSS, ce qui entra?ne des effets d'affichage incohérents, y compris principalement la différence de style par défaut, la méthode de calcul du modèle de bo?te, le niveau de support Flexbox et la disposition de la grille et le comportement incohérent de certains attributs CSS. 1. Le traitement de style par défaut est incohérent. La solution consiste à utiliser cssreset ou normaliser.css pour unifier le style initial; 2. La méthode de calcul du modèle de bo?te de l'ancienne version de IE est différente. Il est recommandé d'utiliser la taille d'une bo?te: Border-Box de manière unifiée; 3. Flexbox et Grid fonctionnent différemment dans les cas de bord ou dans les anciennes versions. Plus de tests et utilisent Autoprefixer; 4. Certains comportements d'attribut CSS sont incohérents. Caniuse doit être consulté et rétrogradé.
