前端面临的安全问题
当前随着前端技术以及应用的快速发展安全问题越来越不多被忽视,常见的前端攻击手段有XSS以及XSRF等。
XSS攻击
XSS全称cross-site scripting,中文名为跨站脚本攻击,即通过一定的手段将带有一定危险的js代码提交到服务器上,当服务器执行或者显示这些数据的时候就会出现一系列的问题。
XSS最大的害处就是盗取cookie,通过提交有害代码显示目标用户的cookie,比如document.cookie。
XSS的常用攻击手段
- 反射型:将xss代码通过url注入;
- 存储型:将xss代码保存到服务器中,在显示的时候会报错;
XSS的防范手段
- encode传递参数:比如&转义成&,"转义成",'转义成',以及</>等;
- filter:对富文本的过滤,即包含大量html标签的过滤;
- Content-Security-Policy:XSS的根本解决方法;
- XSS:cross-site scripting ,跨域脚本攻击,不需要登录;
XSRF攻击
XSRF又称为CSRF(cross-site request forgery),中文名为跨站请求伪造,它的主要攻击方式就是利用用户的登录状态悄悄提交各种信息,比如钓鱼网站等。
防范手段
- referer:利用header中的referer,但这种手段并不可靠,因为有些浏览器或者app限制了这个字段;
- token:有服务器端生成并发送给客户端,在客户端每次提交之前都要传送token;
补充知识
- cookie组成:1. domain,2. path,3. expires,4. secure,5. key-value;
- 单个域名下cookie的最大数量:30-50;
- 单个cookie的存储上限:4K;
