前端安全

XSS跨站脚本攻击

• 原理：页面渲染的数据中包含可运行的脚本
• 攻击的基本类型：反射型（url参数直接注入）和存储型（存储到DB后读取时注入）
• 注入点：节点内容、DOM元素属性、js代码、富文本
• 防御手段：
  • encode：
    • html的encode：将一些有特殊意义的字符串进行替换，如&用&amp
    • js的encode：使用\对特殊字符进行转义，除数字字母外，小于127的字符编码使用16进制\xHH的方式进行编码，大于用unicode

CSRF跨站请求伪造（钓鱼）

• 原理：在第三方网站携带本站的身份认证信息向本站发起请求
• 防御手段：
  • 设置same-site属性：Strict、Lax
  • 使用验证码或者添加token信息
  • 提交method=post判断referer

点击劫持

• 原理：第三方网站通过iframe内嵌某一个网站，并且将iframe设置为透明不可见，将其覆盖在其他经过伪装的ODM上，用户点击了也毫不知情
• 防御手段：设置http响应头 X-Frame-Options：有三个值 DENY（禁止内嵌） SAMEORIGIN（只允许同域名页面内嵌） ALLOW-FROM（指定可以内嵌的地址）