前端安全整理
常见前端安全整理
1、xss攻击(cross site scripting) 跨站脚本攻击 攻击者通过注入非法的html标签或sccript代码,当用户浏览网页的时候,控制用户浏览器
影响:
利用虚假输入表单骗取用户的个人信息
利用脚本获取用户的cookie 值,在受害者不知情的情况下,帮助攻击者发送恶意请求
显示伪造的文章或图片
防御手段:
cookie 设置HttpOnly属性
过滤 对存储到数据库的数据进行验证、过滤
htmlEncode javascriptEncode
2、CSRF 跨站点请求伪造(cross-site request forgeries) 冒充用户发起请求,完成一些违背用户意愿的事,如修改用户信息,删除评论等
影响:
利用已通过认证的用户权限设定信息
利用已通过认证的用户权限购买商品
利用已通过认证用户的权限发表评论等
防御手段:
验证码
尽量使用post(也不是万无一失,可以使用form来伪造)
referer check (referer存在伪造的可能)
token验证 最合适
CSRF 与 XSS 区别
CSRF是有XSS实现的,CSRF也被称为XSRF
本质上,XSS是代码注入的问题,CSRF则是http问题。
3、Clickjacking 点击劫持也叫界面伪装 利用透明的按钮或链接做成陷阱,覆盖在web页面上,在用户不知情的情况下,做违背用户意愿的事
影响:
透明iframe,诱导用户分享
使用一张图片覆盖在网页,遮挡原有的位置含义
防御:
设置X-FRAME-OPTIONS http相应头
js 判断顶层窗口跳转
!function(){ if(top !== self){ top.location = self.location; } }()
6条评论
哈哈哈
admin:@admin admin这个账号竟然可以注册( ^∀^)( ^∀^)( ^∀^)
2018-05-21T03:31:12.142Z 回复
添加新评论
阿萨德
fafafafafa
666
fffffff
游客:@游客 ssssddd s a
2018-05-07T02:11:25.819Z 回复
游客:@游客 ghghj
2018-05-07T02:11:40.306Z 回复
帅的惊动了我:@游客 很6啊
2018-05-07T02:16:58.731Z 回复
添加新评论
;l;l