前端安全

前端安全问题主要有XSS、CSRF攻击。

 

XSS：跨站脚本攻击。它允许用户将恶意代码植入到提供给其他用户使用的页面中，即脚本注入。

XSS的防御措施：

1、过滤转义输入输出

2、避免使用eval、new Function等执行字符串的操作

3、使用cookie的heepOnly属性

4、使用innerHTML、document.write的时候，如果是用户输入的，需要过滤和转义

 

CSRF：跨站请求伪造。就是在网站中的一些提交行为，被黑客利用，在你访问黑客的网站的时候进行操作，会被操作操其他网站上。

CSRF的防御措施：

1、检测http referer是否是同域名

2、避免登录的session长时间存储在客户端中

3、关键请求使用验证码或者token机制

 

其他的攻击方法还有HTTP劫持、操作界面劫持