前端安全

XSS跨站脚本攻击

  • 原理:页面渲染的数据中包含可运行的脚本
  • 攻击的基本类型:反射型(url参数直接注入)和存储型(存储到DB后读取时注入)
  • 注入点:节点内容、DOM元素属性、js代码、富文本
  • 防御手段:
    • encode:
      • html的encode:将一些有特殊意义的字符串进行替换,如&用&amp
      • js的encode:使用\对特殊字符进行转义,除数字字母外,小于127的字符编码使用16进制\xHH的方式进行编码,大于用unicode

CSRF跨站请求伪造(钓鱼)

  • 原理:在第三方网站携带本站的身份认证信息向本站发起请求
  • 防御手段:
    • 设置same-site属性:Strict、Lax
    • 使用验证码或者添加token信息
    • 提交method=post判断referer

点击劫持

  • 原理:第三方网站通过iframe内嵌某一个网站,并且将iframe设置为透明不可见,将其覆盖在其他经过伪装的ODM上,用户点击了也毫不知情
  • 防御手段:设置http响应头 X-Frame-Options:有三个值 DENY(禁止内嵌) SAMEORIGIN(只允许同域名页面内嵌) ALLOW-FROM(指定可以内嵌的地址)
posted @ 2020-05-06 18:03  KWskrrrr  阅读(107)  评论(0编辑  收藏  举报