前端页面及网站若不注意安全方面的防护,很容易被别人攻击,窃取用户敏感信息及诱导用户错误操作,
目前,攻击网站前端的主要方式有如下几种:
1. XSS
XSS是Cross Site Scripting的缩写,即跨站点脚本攻击。XSS发生在用户的浏览器端,即当用户在加载HTML文档时执行了非预期的恶意脚本。总结XSS攻击的特点就是:尽一切办法在目标网站上执行非目标网站上原有的脚本。
2. TLS/SSL
早期的网络传输协议由于只在大学内使用, 所以是默认互相信任的. 所以传统的网络通信可以说是没有考虑网络安全的. 早年的浏览器大厂网景公司为了应对这个情况设计了 SSL (Secure Socket Layer), SSL 的主要用途是:
认证用户和服务器, 确保数据发送到正确的客户机和服务器;
加密数据以防止数据中途被窃取;
维护数据的完整性, 确保数据在传输过程中不被改变.
存在三个特性:
机密性:SSL协议使用密钥加密通信数据
可靠性:服务器和客户都会被认证, 客户的认证是可选的
完整性:SSL协议会对传送的数据进行完整性检查
1999年, SSL 因为应用广泛, 已经成为互联网上的事实标准. IETF 就在那年把 SSL 标准化/强化. 标准化之后的名称改为传输层安全协议 (Transport Layer Security, TLS). 很多相关的文章都把这两者并列称呼 (TLS/SSL), 因为这两者可以视作同一个东西的不同阶段.
3. CSRF
CSRF是Cross Site Request Forgery,翻译为跨站请求伪造。
如何防范Web前端攻击
不要信任任何外部传入的数据
防范Web前端攻击的一个重要的常识是:永远也不要相信用户输入的数据,一定要针对用户输入作相关的格式检查、过滤等操作,防止任何可能的前端注入。如下所列的是在前端开发中应用的具体实践方法。
