前端面臨的安全問(wèn)題
當(dāng)前隨著前端技術(shù)以及應(yīng)用的快速發(fā)展安全問(wèn)題越來(lái)越不多被忽視俘种,常見(jiàn)的前端攻擊手段有XSS以及XSRF等。
XSS攻擊
XSS全稱cross-site scripting踩寇,中文名為跨站腳本攻擊牺堰,即通過(guò)一定的手段將帶有一定危險(xiǎn)的js代碼提交到服務(wù)器上九秀,當(dāng)服務(wù)器執(zhí)行或者顯示這些數(shù)據(jù)的時(shí)候就會(huì)出現(xiàn)一系列的問(wèn)題嘁锯。
XSS最大的害處就是盜取cookie请毛,通過(guò)提交有害代碼顯示目標(biāo)用戶的cookie志鞍,比如document.cookie。
XSS的常用攻擊手段
- 反射型:將xss代碼通過(guò)url注入方仿;
- 存儲(chǔ)型:將xss代碼保存到服務(wù)器中固棚,在顯示的時(shí)候會(huì)報(bào)錯(cuò);
XSS的防范手段
- encode傳遞參數(shù):比如&轉(zhuǎn)義成&仙蚜,"轉(zhuǎn)義成"此洲,'轉(zhuǎn)義成',以及</>等委粉;
- filter:對(duì)富文本的過(guò)濾呜师,即包含大量html標(biāo)簽的過(guò)濾;
- Content-Security-Policy:XSS的根本解決方法贾节;
- XSS:cross-site scripting 汁汗,跨域腳本攻擊,不需要登錄氮双;
XSRF攻擊
XSRF又稱為CSRF(cross-site request forgery)碰酝,中文名為跨站請(qǐng)求偽造,它的主要攻擊方式就是利用用戶的登錄狀態(tài)悄悄提交各種信息戴差,比如釣魚(yú)網(wǎng)站等送爸。
防范手段
- referer:利用header中的referer,但這種手段并不可靠暖释,因?yàn)橛行g覽器或者app限制了這個(gè)字段袭厂;
- token:有服務(wù)器端生成并發(fā)送給客戶端,在客戶端每次提交之前都要傳送token球匕;
補(bǔ)充知識(shí)
- cookie組成:1. domain纹磺,2. path,3. expires亮曹,4. secure橄杨,5. key-value;
- 單個(gè)域名下cookie的最大數(shù)量:30-50照卦;
- 單個(gè)cookie的存儲(chǔ)上限:4K式矫;
