目录
一、XSS(Cross Site Scripting) 跨站 JS 脚本攻击,如何防范?
二、CSRF(Cross-site request forgery) 跨站请求 (GET 和 POST) 伪造攻击,如何防范?
三、SQL 注入,攻击如何防范?
四、接口访刷问题,前端如何与后端配合?
五、接口响应报文欺骗?
六、前端常用的加密方式有哪些?
二、CSRF(Cross-site request forgery) 跨站请求 (GET 和 POST) 伪造攻击,如何防范?
三、SQL 注入,攻击如何防范?
四、接口访刷问题,前端如何与后端配合?
五、接口响应报文欺骗?
六、前端常用的加密方式有哪些?
七、接口敏感信息相关处理常识?
八、低版本的 jQuery 库、其他框架或者前端组件有可能有安全漏洞
正文
一、XSS(Cross Site Scripting) 跨站 JS 脚本攻击,如何防范?
- 针对接口进行 XSS 攻击,即把js脚本或者带恶意 js 脚本的 html 标签,作为 GET 或者 POST 参数提交到服务器,然后服务器解释并响应,在响应结果里把脚本或者 html 标签原样返回明显示和执行。这明显是很有问题。防范方式:1)提交数据前前端要做数据校验,对用户输入的信息 (js 代码及 dom 节点) 进行过滤。2)对重要的 cookie 设置为 httponly(服务器端可设置此字段),客户端就没有操作此 cookie 的权限。3)服务器端也要数据合法性校验
- 针对 DOM 本身进行 XSS 攻击,如果本身页面代码中使用了
window.eval来执行代码。eval本身会把一段字符串变成可执行的 js 代码,这是非常危险的。还有拼接 html 字符串后直接显示 DOM 时也会遇到同样的问题。防范方式:尽量避免使用eval,拼接 html 字符串时应校验字符串的合法性,过滤非法元素节点与属性节点, 如 iframe,script 标签,onerror事件, style, src, href 等。
可能产生危害:泄露了个人的 cookie 信息,身份认证被套取后,被用作非法用途
继续阅读“前端安全之常见问题总结”