XSS跨站脚本攻击
- 原理:页面渲染的数据中包含可运行的脚本
- 攻击的基本类型:反射型(url参数直接注入)和存储型(存储到DB后读取时注入)
- 注入点:节点内容、DOM元素属性、js代码、富文本
- 防御手段:
- encode:
- html的encode:将一些有特殊意义的字符串进行替换,如&用&
- js的encode:使用\对特殊字符进行转义,除数字字母外,小于127的字符编码使用16进制\xHH的方式进行编码,大于用unicode
CSRF跨站请求伪造(钓鱼)
- 原理:在第三方网站携带本站的身份认证信息向本站发起请求
- 防御手段:
- 设置same-site属性:Strict、Lax
- 使用验证码或者添加token信息
- 提交method=post判断referer
点击劫持
- 原理:第三方网站通过iframe内嵌某一个网站,并且将iframe设置为透明不可见,将其覆盖在其他经过伪装的ODM上,用户点击了也毫不知情
- 防御手段:设置http响应头 X-Frame-Options:有三个值 DENY(禁止内嵌) SAMEORIGIN(只允许同域名页面内嵌) ALLOW-FROM(指定可以内嵌的地址)
前端安全
原文:https://www.cnblogs.com/ujoxia/p/12838001.html
