本文讲述了避免使用管理员权限数据库连接,保护机密信息,防范XSS攻击(包括原理和防范方法),以及CSRF漏洞的原理和防范措施。强调前端工程师在用户安全中的责任,并推荐系统化的网络安全学习资源和团队合作的重要性。
永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
不要把机密信息明文存放,请加密或者 hash 掉密码和敏感的信息。
二、XSS 攻击
原理:
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者 javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
防范方法:
代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以 encode,避免不小心把 html tag 弄出来。这一个层面做好,至少可以堵住超过一半的 XSS 攻击。
避免直接在 cookie 中泄露用户隐私,例如 email、密码等等。
通过使 cookie 和系统 ip 绑定来降低 cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值,不可能拿来重放。
如果网站不需要再浏览器端对 cookie 进行操作,可以在 Set-Cookie 末尾加上 HttpOnly 来防止 javascript 代码直接获取 cookie 。
尽量采用 POST 而非GET 提交表单。
三、CSRF 漏洞
原理:
当用户访问恶意网站 B,恶意网站 B返回给用户的HTTP信息中要求用户访问网站 A,而由于用户和网站 A 之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。
要完成一次 CSR F攻击,受害者必须依次完成两个步骤:
登录受信任网站 A,并在本地生成 Cookie。
在不登出 A 的情况下,访问危险网站B。
防范:
服务端的 CSRF 防范方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。
通过验证码的方法。
总结
我们作为一个工程师,尤其是作为一个前端工程师,是离用户最近的,我们要做的不仅仅是把页面呈现给用户,更应该从用户角度考虑,安全问题是一个非常重要的问题,值得我们特别注意,在以后的工作中尤为注意。
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(H客入门教程)
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉CSDN大礼包:《H客&网络安全入门&进阶学习资源包》免费分享
👉网安(H客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
