在IT领域，Web浏览器经历的巨大变化非常令人振奋。如今的浏览器在性能、安全、开发

等方面都应用了最先进的技术，在极其激烈的竞争中面临着生死考验。浏览器过去是相对简单

的软件。第一个浏览器只有一个目的:显示萌芽的网页和跟踪超链接。如今，它们已经支持扩

展、插件、摄像头、麦克风和地理定位。不用说，浏览器已经发展成一个极其复杂的软件。
 

 

在浏览器五彩缤纷的历史中，你总是唱歌，我上台，很热闹。有赢家，有输家，有少数人的最

爱，有大众的选择，每个浏览器的口碑都是一个接一个。网景是浏览器战争的早期受害者，但

它的失败催生了Mozilla和Firefox。IE曾经称霸浏览器市场，打败网景的老资历，现在没落了。

先是被开源浏览器重创，后来被GoogleChrome、AppleSafari等商业产品攻击。但由于不断的

进步和财大气粗的微软的大力支持，IE依然生存发展。可以说浏览器之争远未结束。战场发生

了变化，浏览器开拓了新的领域。由于竞争的结果，浏览器提供商意识到安全对用户的重要性

，这使得攻击浏览器变得越来越困难。这主要表现在防御技术的不断进步。

 

 

接下来，我们简单介绍一下当今浏览器在加强防御方面的一些安全特性。HTTP头。HTTP头

增加了很多安全特性。因为关于请求和响应的指令都放在HTTP头里，服务器自然会通过它来

指示浏览器加强安全性。

 

 

1.内容安全策略。XSS将在第二章详细讨论。为了更清楚的解释CSP(ContentSecurityPolicy)

，需要简单提一下。CSP的诞生是为了减少XSS的隐患，所以它定义了指令和内容的区别。

服务器将发送CSPHTTP头内容-安全-策略或X-内容-安全-策略来指定脚本可以加载的位置，

并指定对这些脚本的限制，例如是否允许执行JavaScript的eval()函数。

 

 

2.安全cookie标志。在过去，HTTP和HTTPS都可以无差别地发送cookie。但是，这可能会影

响与浏览器建立的会话的安全性。攻击者可以通过标准的HTTP请求获得通过HTTPS建立的

安全会话令牌。这是securecookielogo希望一夜之间解决的问题。这个标志的主要目的是告

诉浏览器不要通过任何不安全的渠道发送cookie，以确保敏感的会话密码在任何时候任何地

方都受到安全保护。