前端安全性

1.XSS(Cross-site Scripting 跨站脚本)攻击

方式:通过获取用户的Cookie、SessionId等敏感信息,影响网站及用户数据信息安全

XSS攻击要素:

1)攻击者提交恶意代码

2)浏览器执行恶意代码

防御方式:

1.增加攻击难度,降低攻击后果

2.增加验证码功能,防止冒充用户进行操作

 

2.CSRF(Cross-site request forgery 跨站请求伪造)攻击

方式:攻击者以受害者名义发送恶意请求

1)攻击者利用受害者在被攻击网站的登录凭证,冒充受害者操作,而不是直接窃取数据

2)整个过程攻击者不能获取受害者登录凭证,只是冒用

3)跨站请求可以是图片url、连接、表单提交、CORS等

CSRF防御:

1)阻止不明外域的访问

同源检测,主要针对CORS

Same-site Cookie

2)提交时需要附加本域才能获取的信息Cookie

先通过请求获取Cookie,然后将保存;下次请求时,将Coolie拼接到请求的url之后,以达到校验的效果

优点:无需使用后台session,token存放在客户端易存储

缺点:Cookie中增加额外字段,容易收到XSS攻击(攻击者注入Cookie),采用这种方式最好办法就是将协议换成https

 

3.SQL注入

在Web应用接口注入SQL语法,破坏原有结构,达到攻击行为

 

4.暴力破解

解决办法:

1)增加密码负责度;

2)限制校验次数;

3)绑定手机短信的形式;

 

posted @ 2023-03-25 20:03  CodeProducter  阅读(30)  评论(0编辑  收藏  举报