前端安全

前端安全

  • XSS (Cross site script)
  • CSRF (Cross-site request forgery)

Xss

攻击者提交参数,服务端解析参数后返回浏览器,并渲染。浏览器端执行相应代码。

  • 提交参数

    • URL参数
    • 评论留言板

  • 注入到哪里

    • 标签的src,href属性,包含 javascript: 等可执行代码
    • onload,onclick等事件中,注入代码
    • style 属性,如background-image:url("javascript:...");

  1. 解决方法

浏览器端渲染相应内容时对字符进行过滤操作。

CSRF

攻击者诱导用户访问第三方网站,在第三方网站上,向被攻击网站发送跨站请求。

  1. 解决方案

同源策略

禁止处理第三方上发出的请求,启用同源策略。发出请求时,http协议的头信息中带有

  • Origin Header
  • Referer Header

请求时带上tokoen

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • 前端安全
    一:加密安全 1、Crypto Node.js 的crypto模块封装了诸多的加密功能, 包括 OpenSSL 的...
    南方小小姑娘阅读 3,056评论 0 1
  • 浅谈web前端安全机制问题
    前言 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那...
    莫小耿阅读 4,542评论 0 2
  • 值得纪念的一天
    早上如约六点起床,看了自控力:最近要练习用左手吃饭。继续坚持锻炼身体。 八点学习专业英语。九点半赶往朝阳医院学习。...
    李二白_阅读 1,220评论 0 0
  • 地球家庭观察日记(一)
    今天结束的话,我在地球上就已经生活了4380天了。 我并没有非常思念母星,我只是时常想起我来地球之前的生活。 如今...
    阿不快跑阅读 3,663评论 0 0
  • 童年不再,童心可待
    刚刚室友递过来一包辣条,问我吃不吃?眼神在辣条上停留了一会,还是决定不吃,因为口腔溃疡好些天了。确认过眼神,我遇上...
    秃头少女豆阅读 3,093评论 1 0

友情链接更多精彩内容