这段时间准备复习一下前端知识,查漏补缺。不知道从哪里下手,毕竟自己在前端的领域里还只是小白,前端的知识领域可以说是浩如烟海也不过分。不过既然自己选择了这条路,那么就坚持走下去吧。加油。
第一个复习的知识点,是前端的安全问题,这个问题是在工作中敲代码经常会抛掷脑后的问题,但是面试又几乎必问的问题。
(1)xss攻击
目前俺做的这些项目里还没有受到过神马攻击,但是为了适应现代化前端的成长需求,这方面的只是还是应该具备的。
诸如:攻击者输入input框时,在里面填写“javascript:"这样的字符串,或者“<script></script>”标签之类的,发送给后台后存储到数据库,然后呢,当其他用户进来的时候,浏览器解析从服务器得来的代码,浏览器会将恶意注入的代码解析运行。产生的后果,就是会恶意执行程序影响用户体验和窃取用户数据等等。
预防的方法:
1.前端要根据业务需求进行严格的验证,比如要求email格式的input框就只能是email.
2.后台coder对于前端发送过去的数据要进行过滤和消炎之后再存入数据库。
3.与业务有关的数据,尽量不要在页面中显示,前端创建html静态页面,通过ajax调用api实现数据展示。前后端完全分离,不要用后台代码在页面上直接调取数据。
前面三条是我们平时在开发中都能做到的,所以规范的开发本身就是预防xss攻击的有效方式。
另外还有一点:
4.针对不同的业务规定,前端可以对不符合规范的字符串和特殊符号进行过滤,>>>>>>这里使用escapeHTML()方法
(2)csrf攻击
这个攻击方式也是面试中常见的一个问题。
跨域请求伪造,意思就是用户在自己想要访问的网站上,比如自己的邮箱里面,点开一个黑客发送的恶意的链接,这个链接的页面会有你点击进去之后就获取你的cookie信息的恶意代码,这几行代码其实很简单,会将你的cookie值set到页面的input中然后促发submit事件,将带有你cookie值的信息发送到攻击者哪里,攻击者就可以通过你的个人信息逃过系统验证访问B网站。
预防:
根据业务需求,在交互中强制用户输入验证码
(3)SQL注入
在用户摄入界面注入sql语句在服务器端运行,恶意攻击服务器获取用户数据。
预防:
1.设置php.ini选项display_errors = off,防止php脚本出错之后,在web页面输出敏感信息错误。
2.数据转移,
3.增加黑名单或白名单验证。
对于sql注入,这里前端要解决的是去除input的特殊字符,做好验证。然后其他的交给后台验证。至于后台的黑名单白名单验证,目前我还不是很懂,过两天看一看,然后再来补充。
(4)文件上传漏洞
恶意上传带有脚本的文件,在服务器端运行。
预防:
1.前端需要验证上传文件是否是指定的类型后缀名。
2.后台文件上传目录禁止执行脚本解析。
