站点隔离
站点隔离 是什么?
站点隔离Chromium 的一种安全架构,将不同站点的文档放入独立的操作系统进程,使被攻陷的渲染进程无法读取跨站点数据。
站点隔离是 Chrome 率先引入的浏览器安全机制,保证每个站点占用独立的渲染进程,跨站 iframe 在独立进程(out-of-process iframe)中运行。浏览器主进程负责强制这一边界,Cross-Origin Read Blocking(CORB)和 Opaque Response Blocking(ORB)阻止敏感的跨源响应进入不该访问它的渲染进程。该设计可加固浏览器抵御 Spectre 等侧信道攻击以及渲染进程级 RCE 漏洞:即使攻击者代码在某个渲染进程中运行,操作系统的进程边界也可保护其他站点的已认证数据。Edge、Brave 等 Chromium 衍生浏览器均继承该模型。
● 示例
- 01
打开 attacker.com 和 bank.com 会产生两个独立的渲染进程。
- 02
新闻站点中的 accounts.google.com iframe 在独立的操作系统进程中运行。
● 常见问题
站点隔离 是什么?
Chromium 的一种安全架构,将不同站点的文档放入独立的操作系统进程,使被攻陷的渲染进程无法读取跨站点数据。 它属于网络安全的 应用安全 分类。
站点隔离 是什么意思?
Chromium 的一种安全架构,将不同站点的文档放入独立的操作系统进程,使被攻陷的渲染进程无法读取跨站点数据。
站点隔离 是如何工作的?
站点隔离是 Chrome 率先引入的浏览器安全机制,保证每个站点占用独立的渲染进程,跨站 iframe 在独立进程(out-of-process iframe)中运行。浏览器主进程负责强制这一边界,Cross-Origin Read Blocking(CORB)和 Opaque Response Blocking(ORB)阻止敏感的跨源响应进入不该访问它的渲染进程。该设计可加固浏览器抵御 Spectre 等侧信道攻击以及渲染进程级 RCE 漏洞:即使攻击者代码在某个渲染进程中运行,操作系统的进程边界也可保护其他站点的已认证数据。Edge、Brave 等 Chromium 衍生浏览器均继承该模型。
如何防御 站点隔离?
针对 站点隔离 的防御通常结合技术控制与运营实践,详见上方完整定义。
站点隔离 还有哪些其他名称?
常见的别称包括: 严格站点隔离。
● 相关术语
- appsec№ 129
浏览器沙箱
操作系统层的隔离机制,限制浏览器的渲染进程和辅助进程,防止被攻陷的网页代码读取文件系统或其他应用。
- appsec№ 1075
推测执行侧信道
一类微架构漏洞,CPU 沿本不应执行的路径推测执行指令后,通过缓存和预测器泄露数据。
- vulnerabilities№ 1074
Spectre
一类利用 CPU 推测执行,通过基于缓存的侧信道跨越安全边界泄露数据的微架构攻击。
- vulnerabilities№ 665
Meltdown
一个微架构漏洞(CVE-2017-5754),利用乱序执行和延迟的权限检查,让无特权代码能够读取内核内存。
- appsec№ 960
同源策略 (SOP)
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
- defense-ops№ 964
沙箱逃逸
一种漏洞或漏洞利用链,使代码能从隔离的沙箱(浏览器、VM 或 hypervisor)中逃出,在宿主环境获得代码执行能力。