前端安全整理

常见前端安全整理


1、xss攻击(cross site scripting) 跨站脚本攻击 攻击者通过注入非法的html标签或sccript代码,当用户浏览网页的时候,控制用户浏览器


影响:

利用虚假输入表单骗取用户的个人信息

利用脚本获取用户的cookie 值,在受害者不知情的情况下,帮助攻击者发送恶意请求

显示伪造的文章或图片


防御手段:

cookie 设置HttpOnly属性

过滤 对存储到数据库的数据进行验证、过滤

htmlEncode javascriptEncode



2、CSRF 跨站点请求伪造(cross-site request forgeries) 冒充用户发起请求,完成一些违背用户意愿的事,如修改用户信息,删除评论等


影响:

利用已通过认证的用户权限设定信息

利用已通过认证的用户权限购买商品

利用已通过认证用户的权限发表评论等


防御手段:

验证码

尽量使用post(也不是万无一失,可以使用form来伪造)

referer check (referer存在伪造的可能)

token验证 最合适


CSRF 与 XSS 区别

CSRF是有XSS实现的,CSRF也被称为XSRF

本质上,XSS是代码注入的问题,CSRF则是http问题。



3、Clickjacking 点击劫持也叫界面伪装 利用透明的按钮或链接做成陷阱,覆盖在web页面上,在用户不知情的情况下,做违背用户意愿的事


影响:

透明iframe,诱导用户分享

使用一张图片覆盖在网页,遮挡原有的位置含义


防御:

设置X-FRAME-OPTIONS http相应头

js 判断顶层窗口跳转



!function(){
    if(top !== self){
        top.location = self.location; 
    }
}()


参考:https://jkchao.cn/article/59de0283c52d5a4ba98b1f0d

确认 取消
6条评论
哈哈哈
admin:@admin admin这个账号竟然可以注册( ^∀^)( ^∀^)( ^∀^)
2018-05-21T03:31:12.142Z 回复
添加新评论
阿萨德
fafafafafa
666
fffffff
游客:@游客 ssssddd s a
2018-05-07T02:11:25.819Z 回复
游客:@游客 ghghj
2018-05-07T02:11:40.306Z 回复
帅的惊动了我:@游客 很6啊
2018-05-07T02:16:58.731Z 回复
添加新评论