前端安全之常见问题总结

目录

七、接口敏感信息相关处理常识?
八、低版本的 jQuery 库、其他框架或者前端组件有可能有安全漏洞

正文

一、XSS(Cross Site Scripting) 跨站 JS 脚本攻击,如何防范?

  1. 针对接口进行 XSS 攻击,即把js脚本或者带恶意 js 脚本的 html 标签,作为 GET 或者 POST 参数提交到服务器,然后服务器解释并响应,在响应结果里把脚本或者 html 标签原样返回明显示和执行。这明显是很有问题。防范方式:1)提交数据前前端要做数据校验,对用户输入的信息 (js 代码及 dom 节点) 进行过滤。2)对重要的 cookie 设置为 httponly(服务器端可设置此字段),客户端就没有操作此 cookie 的权限。3)服务器端也要数据合法性校验
  2. 针对 DOM 本身进行 XSS 攻击,如果本身页面代码中使用了 window.eval 来执行代码。eval 本身会把一段字符串变成可执行的 js 代码,这是非常危险的。还有拼接 html 字符串后直接显示 DOM 时也会遇到同样的问题。防范方式:尽量避免使用 eval,拼接 html 字符串时应校验字符串的合法性,过滤非法元素节点与属性节点, 如 iframe,script 标签,onerror 事件, style, src, href 等。

可能产生危害:泄露了个人的 cookie 信息,身份认证被套取后,被用作非法用途
继续阅读“前端安全之常见问题总结”