. 前沿
之前做过互联网金网,或者涉及到金融,结账,说白了就是接触到钱的问题前端安全就会县的尤为重要了。我了解的也不是很透彻,这个东西还是要好好学习一下啊。
目前来说前端安全一般有三个攻击网站的方法
第一个 xss攻击
xss:跨站脚本攻击,攻击者通过注入非法的html标签或者javascript代码,从而当用户浏览该网页时,控制用户浏览器。
造成的影响:
- 1,利用虚假输入表单骗取用户个人信息。
- 2,利用脚本窃取用户的cookie,帮助攻击者发送恶意请求。
- 3,显示伪造的文章或者图片。
如何防范
- 只要有输入数据的地方就有可能有xss攻击,例如:登录,注册,填写个人信息。
防范措施: - 1,前后端对输入的内容进行检验,过滤
- 2,在cookie中设置httpOnly属性js脚本就无法获取cookie信息。
第二个 csrf攻击
跨站点请求伪造,冒充用户发起请求。
造成的影响:
- 1,更新用户信息
- 2,使用已通过 的用户信息购买产品
- 3, 使用已通过 的用户信息发表评论
如何防范
- 1, 验证码,极验,就是在做一些重要操作时需要进行验证才能完成,这样可以更好的防范csrf
- 2, 众所周知,尽量使用post请求
- 3, 请求加token验证
第三个 点击劫持
就是利用网页上透明的按钮或链接做成陷阱,当用户点击时跳转到攻击页面,最为常见的就是iframe
跳转
如何防范
X-FRAME-OPTIONS HTTP 响应头是用来给浏览器指示允许一个页面是否应该加载<iframe>
中的页面
修改web服务器配置,添加
X-FRAME-OPTIONS
响应头
X-FRAME-OPTIONS
的配置项
- 1, DENY:不能被潜入到任何iframe中
- 2,SAMEORIGIN: 页面只能被本站页面嵌入
- 3,ALLOW-FORM url: 只能被嵌入到指定的域名框架中
结束语
其实我了解的也是皮毛,在项目中常用的就就是token和极验,还需要多多学习。