常见前端安全整理

1、xss攻击（cross site scripting） 跨站脚本攻击 攻击者通过注入非法的html标签或sccript代码，当用户浏览网页的时候，控制用户浏览器

影响：

利用虚假输入表单骗取用户的个人信息

利用脚本获取用户的cookie 值，在受害者不知情的情况下，帮助攻击者发送恶意请求

显示伪造的文章或图片

防御手段：

cookie 设置HttpOnly属性

过滤 对存储到数据库的数据进行验证、过滤

htmlEncode javascriptEncode

2、CSRF 跨站点请求伪造（cross-site request forgeries） 冒充用户发起请求，完成一些违背用户意愿的事，如修改用户信息，删除评论等

影响：

利用已通过认证的用户权限设定信息

利用已通过认证的用户权限购买商品

利用已通过认证用户的权限发表评论等

防御手段：

验证码

尽量使用post（也不是万无一失，可以使用form来伪造）

referer check (referer存在伪造的可能)

token验证 最合适

CSRF 与 XSS 区别

CSRF是有XSS实现的，CSRF也被称为XSRF

本质上，XSS是代码注入的问题，CSRF则是http问题。

3、Clickjacking 点击劫持也叫界面伪装 利用透明的按钮或链接做成陷阱，覆盖在web页面上，在用户不知情的情况下，做违背用户意愿的事

影响：

透明iframe，诱导用户分享

使用一张图片覆盖在网页，遮挡原有的位置含义

防御：

设置X-FRAME-OPTIONS http相应头

js 判断顶层窗口跳转

!function(){
    if(top !== self){
        top.location = self.location; 
    }
}()

参考：https://jkchao.cn/article/59de0283c52d5a4ba98b1f0d