前端安全性

1.XSS（Cross-site Scripting 跨站脚本）攻击

方式：通过获取用户的Cookie、SessionId等敏感信息，影响网站及用户数据信息安全

XSS攻击要素：

1）攻击者提交恶意代码

2）浏览器执行恶意代码

防御方式：

1.增加攻击难度，降低攻击后果

2.增加验证码功能，防止冒充用户进行操作

 

2.CSRF（Cross-site request forgery 跨站请求伪造）攻击

方式：攻击者以受害者名义发送恶意请求

1）攻击者利用受害者在被攻击网站的登录凭证，冒充受害者操作，而不是直接窃取数据

2）整个过程攻击者不能获取受害者登录凭证，只是冒用

3）跨站请求可以是图片url、连接、表单提交、CORS等

CSRF防御：

1）阻止不明外域的访问

同源检测，主要针对CORS

Same-site Cookie

2）提交时需要附加本域才能获取的信息Cookie

先通过请求获取Cookie，然后将保存；下次请求时，将Coolie拼接到请求的url之后，以达到校验的效果

优点：无需使用后台session，token存放在客户端易存储

缺点：Cookie中增加额外字段，容易收到XSS攻击（攻击者注入Cookie），采用这种方式最好办法就是将协议换成https

 

3.SQL注入

在Web应用接口注入SQL语法，破坏原有结构，达到攻击行为

 

4.暴力破解

解决办法：

1）增加密码负责度；

2）限制校验次数；

3）绑定手机短信的形式；