包含来自其他网站的可执行内容是非常危险的。这就会将您站点的安全与其他站点的安全绑在一起。

示例 1：考虑以下 script 标签。

  <script src="http://www.example.com/js/fancyWidget.js"></script>

如果此标签出现在 www.example.com 以外的网站中，则该站点将依赖 www.example.com 来运行正确的非恶意代码。如果攻击者可以入侵 www.example.com，则他们可以篡改 fancyWidget.js 的内容，损害站点安全。例如，他们可以将代码添加到 fancyWidget.js 中，窃取用户的机密数据。

程序员通常信任隐藏字段的内容，认为用户不会查看它们或操作其内容。攻击者则会推翻这些假设。他们将检查写入隐藏字段的值，更改它们，或使用攻击数据替换这些内容。

示例 1：

  Hidden hidden = new Hidden(element);

如果隐藏字段包含敏感信息，那么就会像捕捉该页面的其余部分一样捕捉这些信息。这会导致敏感信息在用户不知情的情况下在浏览器缓存中被隐藏起来。

HTML5 的一项功能是在客户端 SQL 数据库存储数据。数据库名称是开始写入数据库或从数据库读取所需的重要信息。因此，数据库名称必须是每位用户特有的唯一字符串。如果数据库名称很容易被猜出，未经授权的人（例如其他用户）可能会窃取敏感数据或损坏数据库条目。
示例 1：以下代码使用了容易被猜出的数据库名称：

...
var db = openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
...

该代码可以成功运行，但任何能猜到数据库名称为 'mydb' 的人都可以访问该数据库。

内容安全策略 (CSP) 是声明性安全标头，允许开发人员规定站点可从哪些域中加载内容，或呈现在 Web 浏览器中时向哪些域发起连接。它提供额外的安全层以避免重大漏洞，如 Cross-Site Scripting、Clickjacking、Cross-origin Access 等，此外还有输入验证以及代码中的允许列表检验。但配置不恰当的标头无法提供此额外的安全层。该策略是在十五条指令的帮助下定义的，包括八条控制资源访问的指令，即：script-src、img-src、object-src、style_src、font-src、media-src、frame-src、connect-src。

其中的每个指令均将一个源列表作为值，指定站点可访问的域，以使用该指令涵盖的功能。开发人员可使用通配符 * 表示所有或部分数据源。所有的指令都不是强制性的。浏览器允许对未列出的指令使用所有的数据源，或者允许从可选 default-src 指令中衍生其值。此外，此标头的规范也在不断发展。在 Firefox V23 和 IE V10 以前，它作为 X-Content-Security-Policy 实现，在 Chrome V25 以前，它作为 X-Webkit-CSP 实现。这两个名称现在均已弃用，目前使用的标准名称为 Content Security Policy。鉴于指令数、两个弃用的备用名称以及在单个标头中相同标头和重复指令多次出现的处理方式，开发人员很有可能会错误地配置此标头。

请考虑以下错误配置方案：

- 带 unsafe-inline 或 unsafe-eval 的指令背离了 CSP 的初衷。
- 设置了 script-src 指令，但未配置脚本 nonce。
- 设置了 frame-src，但未配置 sandbox。
- 此标头的多个实例允许出现在同一响应中。开发团队和安全团队可能都设置了标头，但其中一个团队可能使用了一个弃用的名称。如果不存在具有最新名称（即，Content Security Policy）的标头，则使用弃用标头也没问题，但如果存在名为 content-security-header 的策略，则应忽略弃用的标头。旧版本只能理解弃用的名称，因此，为了获得所需的支持，响应包括具有全部三个名称的相同策略非常重要。
- 如果指令在同一个标头实例中重复出现，则会忽略所有后续的重复。

例 1：以下 django-csp 配置使用 unsafe-inline 和 unsafe-eval 不安全指令来支持内联脚本和代码评估：

...
MIDDLEWARE = (
    ...
    'csp.middleware.CSPMiddleware',
    ...
)
...
CSP_DEFAULT_SRC = ("'self'", "'unsafe-inline'", "'unsafe-eval'", 'cdn.example.net')
...

内容安全策略 (CSP) 是声明性安全标头，允许开发人员规定站点可从哪些域中加载内容，或呈现在 Web 浏览器中时向哪些域发起连接。它提供额外的安全层以避免重大漏洞，如 Cross-Site Scripting、Clickjacking、Cross-origin Access 等，此外还有输入验证以及检查代码中的允许列表。

默认情况下，Spring Security 和其他框架不会添加内容安全策略标头。Web 应用程序作者必须声明一或多项安全策略，以针对受保护资源强制实施或监控，从而从额外的安全层获益。

允许将您的网站添加到框架会引发安全问题。例如，这可能引发 Clickjacking 漏洞或允许异常的跨框架通信。

默认情况下，Spring Security 等框架将 X-Frame-Options 标头包含在内，从而指示浏览器是否应对应用程序进行组帧。禁用或不设置此标头会引发与跨框架相关的漏洞。

示例 1：以下代码配置了受 Spring Security 保护的应用程序，以禁用 X-Frame-Options 标头：

	<http auto-config="true">
        ...
        <headers>
            ...
            <frame-options disabled="true"/>
        </headers>
	</http>

内容安全策略 (CSP) 是声明性安全标头，使开发人员可以在浏览器中指定允许的安全相关行为，包括可从中检索内容的位置允许列表。它提供额外的安全层以避免重大漏洞，如 Cross-Site Scripting、Clickjacking、Cross-origin Access 等，此外还有输入验证以及检查代码中的允许列表。但配置不恰当的标头无法提供此额外的安全层。该策略是在 15 条指令的帮助下定义的，包括 8 条控制资源访问的指令：script-src、img-src、object-src、style_src、font-src、media-src、frame-src、connect-src。这 8 条指令将源列表作为值，该值指定站点可访问的域，以使用该指令涵盖的功能。开发人员可使用通配符 * 表示所有或部分数据源。其他源列表关键字（例如 'unsafe-inline' 和 'unsafe-eval'）提供了对脚本执行的更精细控制，但可能有害。所有的指令都不是强制性的。浏览器允许对未列出的指令使用所有的数据源，或者允许从可选 default-src 指令中衍生其值。此外，此标头的规范也在不断发展。在 Firefox V23 和 IE V10 以前，它作为 X-Content-Security-Policy 实现，在 Chrome V25 以前，作为 X-Webkit-CSP 实现。这两个名称现在均已弃用，目前使用的标准名称为 Content Security Policy。鉴于指令数、两个弃用的备用名称以及在单个标头中相同标头和重复指令多次出现的处理方式，开发人员很有可能会错误地配置此标头。

示例 1：以下代码设置了过度宽松且不安全的 default-src 指令：

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-security-policy policy-directives="default-src '*'" />
        </headers>
    </http>

在 HTML5 以前的版本中，Web 浏览器会强制实施同源策略，以确保在使用 JavaScript 访问 Web 页面内容时，JavaScript 和 Web 页面必须来自同一个域。如果不实施同源策略，恶意网站可能就会使用客户端凭据运行从其他网站加载敏感信息的 JavaScript，并对这些信息进行提炼，然后将其返回给攻击者。如果定义了名为 Access-Control-Allow-Origin 的新 HTTP 标头，HTML5 就支持使用 JavaScript 跨域访问数据。通过此标头，Web 服务器可定义允许使用跨源请求访问服务器域的其他域。但是，定义标头时应小心谨慎，如果 CORS 策略过于宽松，恶意应用程序就能趁机采用不当方式与受害者应用程序进行通信，从而导致发生欺骗、数据被盗、转发及其他攻击。

示例 1：以下示例会使用通配符以编程方式指定允许与应用程序进行通信的域。

<websocket:handlers allowed-origins="*">
        <websocket:mapping path="/myHandler" handler="myHandler" />
</websocket:handlers>

使用 * 作为 Access-Control-Allow-Origin 标头的值，这表明任何域上运行的 JavaScript 都可以访问应用程序的数据。

HTML5 的一项新功能是跨文档消息传递。该功能允许脚本将消息发布到其他窗口。用户利用相应的 API 可指定目标窗口的源。不过，指定目标源时应小心谨慎，因为如果目标源过于宽松，恶意脚本就能趁机采用不当方式与受害者窗口进行通信，从而导致发生欺骗、数据被盗、转发及其他攻击。

示例 1：以下示例会使用通配符以编程方式指定要发送的消息的目标源。

    WebMessage message = new WebMessage(WEBVIEW_MESSAGE);
    webview.postWebMessage(message, Uri.parse("*"));

使用 * 作为目标源的值表示无论源如何，脚本都会将消息发送到窗口。

默认情况下，浏览器不会将包含来自 HTTPS 之请求的引用标头发送到未加密的 HTTP 链接。然而，请求目标若也为 HTTPS，无论来源如何，都将发送标头。开发人员可能会将敏感信息留在 URL 中，这些敏感信息会通过引用标头向第三方站点暴露。Referrer-Policy 标头会被引入，以控制与引用标头相关的浏览器行为。Unsafe-URL 选项会删除所有限制，并随每一个请求发送引用标头。

示例 1：以下代码配置了受 Spring Security 保护的应用程序，以禁用默认的安全引用策略：

	<http auto-config="true">
        ...
        <headers>
            ...
            <referrer-policy policy="unsafe-url"/>
        </headers>
	</http>

内容安全策略 (CSP) 是声明性安全标头，允许开发人员规定站点可从哪些域中加载内容，或呈现在 Web 浏览器中时向哪些域发起连接。它提供额外的安全层以避免重大漏洞，如 Cross-Site Scripting、Clickjacking、Cross-origin Access 等，此外还有输入验证以及检查代码中的允许列表。

Content-Security-Policy-Report-Only 标头可以让 Web 应用程序作者和管理员监控而不是强制实施安全策略。此标头通常用于试验和/或开发站点安全策略。假若策略有效，则可以转而使用 Content-Security-Policy 标头字段强制实施该策略。

示例 1：以下代码在 Report-Only 模式下设置内容安全策略：

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-security-policy report-only="true" policy-directives="default-src https://content.cdn.example.com" />
        </headers>
    </http>

键盘扩展可以读取用户输入的每一个按键。第三方键盘通常用于简化文本输入或添加额外的表情符号，他们可以记录用户输入的内容，甚至将其发送到远程服务器进行处理。恶意键盘还可以作为键盘记录器来分发，以读取用户输入的每一个键，从而窃取凭据或信用卡号等敏感数据。

该扩展在视图控制器中接收来自主机应用程序的数据，但未能实现 SLComposeServiceViewController isContentValid 以在使用收到的不可信数据前进行验证。

示例 1：以下扩展视图控制器从主机应用程序接收数据，但未能实现回调方法来验证这些数据：

    #import <MobileCoreServices/MobileCoreServices.h>

    @interface ShareViewController : SLComposeServiceViewController
        ...
    @end

    @interface ShareViewController ()
        ...
    @end

    @implementation ShareViewController

    - (void)didSelectPost {
        NSExtensionItem *item = self.extensionContext.inputItems.firstObject;
        NSItemProvider *itemProvider = item.attachments.firstObject;
        ...
        // Use the received items
        ...
        [self.extensionContext completeRequestReturningItems:@[] completionHandler:nil];
    }

    ...

    @end

当第三方应用程序或 webview 使用 URL 与您的应用程序通信时，作为接收方的应用程序应验证预期与其通信的应用程序允许列表中是否包含发送方。作为接收方的应用程序可选择使用 UIApplicationDelegate application:openURL:options: 或 UIApplicationDelegate application:openURL:sourceApplication:annotation: 代理方法来验证调用 URL 的来源。

示例 1：UIApplicationDelegate application:openURL:options: 代理方法的以下实现在未验证 IPC 调用发送方的情况下便处理了调用 URL：

    - (BOOL)application:(UIApplication *)app openURL:(NSURL *)url options:(NSDictionary<NSString *,id> *)options {
        NSString *theQuery = [[url query] stringByRemovingPercentEncoding:NSUTF8StringEncoding];
        NSArray *chunks = [theQuery componentsSeparatedByString:@"&"];
        for (NSString* chunk in chunks) {
            NSArray *keyval = [chunk componentsSeparatedByString:@"="]; NSString *key = [keyval objectAtIndex:0];
            NSString *value = [keyval objectAtIndex:1];
            // Do something with your key and value
        }
        return YES;
    }

当第三方应用程序或 webview 使用 URL 与您的应用程序通信时，作为接收方的应用程序应在执行进一步操作之前验证该调用 URL。作为接收方的应用程序可选择使用 UIApplicationDelegate application:didFinishLaunchingWithOptions: 或 UIApplicationDelegate application:willFinishLaunchingWithOptions: 代理方法来验证其是否可以打开该调用 URL。

示例 1：UIApplicationDelegate application:didFinishLaunchingWithOptions: 代理方法的以下实现未对调用 URL 进行验证，因而总是会处理不可信的 URL：

    - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NS Dictionary *)launchOptions {
        return YES;
    }

应用程序可以注册自定义 URL 方案，供第三方应用程序用于与其通信。虽然这是一个简单的 IPC 通道，但它可能会将您的应用程序暴露于“URL Scheme Hijacking”攻击之下。由于任何应用程序均可注册 Apple 未保留的 URL 方案，因而恶意应用程序可能会注册与您的应用程序所用相同的方案，从而导致未定义的行为。根据 Apple 的文档：“如果有多个第三方应用程序注册处理相同的 URL 方案，目前尚无能够确定将该方案交予哪个应用程序处理的流程”。如果恶意应用程序先于您的应用程序安装，它可能会注册该方案，使您的应用程序无法成功安装。或者，如果恶意应用程序晚于您的应用程序安装，并且成功注册了方案，那么它可能会劫持您的应用程序。

Android 备份服务允许应用程序将持久性数据保存到远程云存储，以便日后作为应用程序数据还原点。

Android 应用程序可通过此备份服务进行配置，即将 allowBackup 属性设置为 true（默认值），并在 <application> 标签上定义 backupAgent 属性。

但是，Android 不保证使用备份期间的数据安全性，因为云存储和传输因设备而异。

保存到外部存储上的文件可随意读取，并且能够被启用 USB 海量存储来传输计算机上的文件的用户修改。另外，即便卸载了将文件写入外部存储卡的应用程序，这些文件也不会被删除。这些缺陷会危及写入存储的敏感信息，或者使攻击者能够通过修改程序所依赖的外部文件将恶意数据注入程序。

示例 1：在以下代码中，Environment.getExternalStorageDirectory() 会返回对 Android 设备的外部存储的引用。

 private void WriteToFile(String what_to_write) {
        try{
            File root = Environment.getExternalStorageDirectory();
            if(root.canWrite()) {
                File dir = new File(root + "write_to_the_SDcard");
                File datafile = new File(dir, number + ".extension");
                FileWriter datawriter = new FileWriter(datafile);
                BufferedWriter out = new BufferedWriter(datawriter);
                out.write(what_to_write);
                out.close();
             }
        }
   }

使用 MODE_WORLD_READBLE 或 MODE_WORLD_WRITEABLE 存储在 Android 内部存储中的数据可供设备上的所有应用程序访问。这不仅无法防止数据损坏，而且如果是敏感信息的话，可能违反用户隐私和安全事宜。

将数据存储到密钥链中时，需要设置可访问性级别以定义可在何时访问项目。可用的可访问性级别如下所示：

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
重新启动后，将无法访问密钥链项目中的数据，直到用户将设备解除锁定一次。
第一次解除锁定后，数据将保持可访问状态，直到下次重新启动。推荐将此属性用于需要由后台应用程序访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleAlways:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目在使用加密备份时会迁移到新设备。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
只能在设备解除锁定时访问密钥链中的数据。仅在设备上设置了密码时可用。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。将备份恢复到新设备后，这些项目将丢失。不能在没有密码的设备上的此类中存储任何项目。禁用设备密码将会删除此类中的所有项目。
在 iOS 8.0 和更高版本中可用。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
始终可访问密钥链项目中的数据，无论设备是否已锁定。
不建议用于应用程序。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlocked:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目在使用加密备份时会迁移到新设备。
这是在没有明确设置可访问性常量的情况下添加密钥链项目时的默认值。
在 iOS 4.0 和更高版本中可用。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
只能在用户对设备解除锁定时访问密钥链项目中的数据。
建议只用于当应用程序处于前台时才需要访问的项目。具有此属性的项目不会迁移到新设备。因此，从不同设备的备份恢复后，这些项目将不存在。
在 iOS 4.0 和更高版本中可用。

如果项目的可访问性级别中不包含 ThisDeviceOnly，那么该项目将备份到 iCloud，并且即便在使用可恢复到任意设备的未加密备份的情况下仍然会备份到 iTunes。这可能会导致隐私问题，具体取决于所存储数据的敏感和私密程度。

示例 1：在以下示例中，除了设备处于打开或解除锁定状态时，密钥链项目始终受保护，但将会备份到 iCloud 和未加密的 iTunes 备份中：

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleWhenUnlocked forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...