前端安全（一）

前端网络安全：https://www.cxymsg.com/

1  跨站脚本 (Cross-Site Scripting, XSS)跨站脚本攻击: 一种代码注入方式, 为了与 CSS 区分所以被称作 XSS.攻击者通过注入非法的 html 标签或者 javascript 代码，从而当用户浏览该网页时，控制用户浏览器。

• XSS 攻击有三种类型：可分为存储型、反射型和 DOM 型。攻击类型使用
• XSS攻击预防： XSS攻击有两大要素：攻击者提交恶意代码；浏览器执行恶意代码，

1. 进行输入过滤。进行纯前端渲染；转义HTML。
2. 禁止加载外域代码，防止复杂的攻击逻辑。
3. 输入内容长度限制，验证码等
4. HttpOnly 防止劫取 Cookie

 

2 CSRF(Cross-site request forgery)跨站请求伪造：指攻击者通过设置好的陷阱，强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新，属于被动攻击。

• CSRF攻击类型：GET类型的CSRF；POST类型的CSRF；链接类型的CSRF。
• CSRF攻击预防：

1. 验证码
2. Referer check(白名单检查)
3. 添加token验证（CSRF的特点：CSRF（通常）发生在第三方域名；CSRF攻击者不能获取到Cookie等信息，只是使用。1同源检测。2双重Cookie验证。）

iframe的滥用。

4 恶意的第三方库。

5 网络劫持。

6 中间人攻击。

 

 

三 XSS与CSRF区别：

• XSS：不需要登录。CSRF：需要用户先登录网站A，获取 cookie。
• XSS：是向网站 A 注入 JS代码，然后执行 JS 里的代码，篡改网站A的内容。CSRF：是利用网站A本身的漏洞，去请求网站A的api。