首页 > 其他 > 详细

前端安全

时间:2020-05-06 20:33:28      阅读:49      评论:0      收藏:0      [点我收藏+]

XSS跨站脚本攻击

  • 原理:页面渲染的数据中包含可运行的脚本
  • 攻击的基本类型:反射型(url参数直接注入)和存储型(存储到DB后读取时注入)
  • 注入点:节点内容、DOM元素属性、js代码、富文本
  • 防御手段:
    • encode:
      • html的encode:将一些有特殊意义的字符串进行替换,如&用&amp
      • js的encode:使用\对特殊字符进行转义,除数字字母外,小于127的字符编码使用16进制\xHH的方式进行编码,大于用unicode

CSRF跨站请求伪造(钓鱼)

  • 原理:在第三方网站携带本站的身份认证信息向本站发起请求
  • 防御手段:
    • 设置same-site属性:Strict、Lax
    • 使用验证码或者添加token信息
    • 提交method=post判断referer

点击劫持

  • 原理:第三方网站通过iframe内嵌某一个网站,并且将iframe设置为透明不可见,将其覆盖在其他经过伪装的ODM上,用户点击了也毫不知情
  • 防御手段:设置http响应头 X-Frame-Options:有三个值 DENY(禁止内嵌) SAMEORIGIN(只允许同域名页面内嵌) ALLOW-FROM(指定可以内嵌的地址)

前端安全

原文:https://www.cnblogs.com/ujoxia/p/12838001.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!