2024年前端最全前端预防XSS攻击全攻略_反射型xss前端如何限制,字节前端面试必问

已于 2024-05-06 19:50:09 修改
阅读量660 收藏 21
点赞数 13
分类专栏: 程序员 文章标签: 前端 xss 面试
于 2024-05-06 19:50:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84446787/article/details/138506102
版权

HTTP

  • HTTP 报文结构是怎样的?

  • HTTP有哪些请求方法?

  • GET 和 POST 有什么区别?

  • 如何理解 URI?

  • 如何理解 HTTP 状态码?

  • 简要概括一下 HTTP 的特点?HTTP 有哪些缺点?

  • 对 Accept 系列字段了解多少?

  • 对于定长和不定长的数据,HTTP 是怎么传输的?

  • HTTP 如何处理大文件的传输?

  • HTTP 中如何处理表单数据的提交?

  • HTTP1.1 如何解决 HTTP 的队头阻塞问题?

  • 对 Cookie 了解多少?

  • 如何理解 HTTP 代理?

  • 如何理解 HTTP 缓存及缓存代理?

  • 为什么产生代理缓存?

  • 源服务器的缓存控制

  • 客户端的缓存控制

  • 什么是跨域?浏览器如何拦截响应?如何解决?

    开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

二、xss攻击的两种方式
1、反射型攻击

黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以你这个用户的名义干一些事儿。

2、持久性攻击

持久型攻击,论坛、社交网站之类的系统,可发布一些帖子,评论。黑客可在里面写一段恶意脚本, 然后把恶意脚本混杂在评论内容里提交到网站的数据库里去 。然后其他用户在社交网站里浏览到了黑客的这个评论,评论内容会被返回到其浏览器里去,此时评论内容是包含恶意js脚本的,马上恶意脚本运行,可利用cookie伪造你的用户登录的session 状态,去以你这个用户的名义干一些事儿。

三、如何防止XSS攻击

如果要防止XSS攻击,一般来说手段有如下3种:

  1. 包含恶意URL链接的图片、视频、动图、flash动画,少点,尽量使用正规的网站 ;
  2. 消毒机制,代码里必须对内容进行消毒,就是进行一些转义,比 如说把>转义为>之类的,这样就可以把恶意脚本里的html标签、js代码之类的东西,都给转义掉,让这些恶意脚本失效 -> ,这种东西在浏览器里是不会运行的 这样的话,转义以后的脚本被其他用户看到的时候也不会在浏览器里运行了;
  3. HttpOnly方式,这个意思是说如果你在浏览器里存放cookie的时候,可以设置一个HttpOnly属性,比如说存放用户加密认证信息的 cookie,这样的话,在浏览器里运行的js脚本是被禁止访问这些HttpOnly cookie的,他就无法窃取你在浏览器里存储的cookie了。
四、XSS攻击要做什么坏事?
  1. 窃取cookie,然后借刀杀人,借用户的身份伪造数据请求;
  2. 劫持流量,后导流到他的私域网站上去;
  3. 插入广告;
  4. 置入木马;
  5. 获取用户信息;
五、预防xss攻击方法:

读者福利

========

开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】

由于篇幅过长,就不展示所有面试题了,想要完整面试题目的朋友(另有小编自己整理的2024大厂高频面试题及答案附赠)


2401_84446787
关注
专栏目录
前端安全系列(一):如何防止XSS攻击
WLsweety的博客
02-08 2734
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。
前端解析支付宝返回form表单,自动跳转支付,2024最新Web前端高级工程师面试题及答案
最新发布
2401_84140687的博客
04-19 531
调用接口返回数据中,会有一串form表单字符串返回,前端需要做的就是把这串form 表单字符串通过appendchild 方法添加到当前页面中,并且执行这个表单的submit() 方法,表单提交以后,会自动跳转到支付宝扫码支付页面。项目中用到了微信扫码,支付宝扫码支付。前端调取支付宝接口(后台进行了封装,没有直接调取支付宝接口)。两小时带你写一个自己loader。打开全栈工匠技能包-1小时轻松掌握SSR。网易内部VUE自定义插件库NPM集成。生产环境下如歌部署Node.js。两小时精通jq+bs插件开发。
前端预防XSS攻击全攻略
前端小师姐迪迪_的博客
02-23 2242
前端如何预防XSS攻击XSS攻击做了哪些坏事?
前端xss攻击
weixin_40650646的博客
02-28 285
https://jsxss.com/zh/index.html
前端防御XSS
swordheart的博客
04-26 1963
0x00 前言 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其实说了那么多,交给nginx||apache||nodeJs||Python会更好处理。但是我不会C,也就没办法写nginx模块了。而且也不在本文章的范围内,等我什么
史上最全常见前端大厂面试知识点汇总【已过字节, 腾讯teg,华为,网易】
反手一个bug的博客
05-29 5214
文章目录网络,浏览器篇tcp/ip协议有几层网络七层协议内容浏览器进程和线程进程通信的方式https加密过程url到页面过程http2和http1的区别如何实现有状态的http协议强缓存和协商缓存(浏览器缓存机制)强缓存协商缓存浏览器缓存过程跨域请求js原理篇js执行机制单线程执行宿主执行栈Event Loop宏任务和微任务js为什么设计成单线程语言手写newES6中class是语法还是语法糖原的终点手写实现promise,promise. all,promise. racepromisepromise.
web前端面试题(必背面试题)
热门推荐
Z_Gleng的博客
05-25 3万+
自己总结的常见的面试题 总字数13万+ 大概有200+左右道题 会不定期更新
2020最全前端面试系列(计算机网络)(非科班出身最薄弱的环节)
前端彭于晏的博客
07-17 1万+
2020最全前端面试系列(计算机网络) 常见状态码 浏览器从输入URL到返回页面的全过程 三次握手 四次挥手 浏览器缓存机制 协议结构 http报文 get和post方法区别 网络安全 TCP单工、半双工、双工
前端面试计网、HTTP协议,操作系统(自留,持续更新)
Y_ooo的博客
04-15 3033
参考: https://juejin.cn/post/6844903590058786824 https://space.bilibili.com/327247876 1.ajax,fetch,axios是什么,优缺点? 1)ajax ajax指异步的javascript和XML,是一个技术统称,特点就是局部刷新页面、不需要重载整个页面。ajax通过js操作浏览器提供的XMLHttpRequest构造函数表示网页请求,以此来进行网络通信。 ajax内部有这么几个需要注意点函数和参数: open(请求方法.
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端如何防止XSS攻击
HarryHY的博客
08-09 6498
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
94、前端如何防止XSS攻击
sunnnnh的博客
08-04 1109
参考:https://blog.csdn.net/fly910905/article/details/86644752 一、XSS攻击原理 XSS原称为CSS(Cross-Site Scripting 跨站脚本攻击),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 二、XSS
前端安全之预防XSS攻击
主题模板站的博客
01-27 967
一般是提供一个免费的wifi,但是提供免费wifi的网关会往你访问的任何页面插入一段脚本或者是直接返回一个钓鱼页面,从而植入恶意脚本。这个其实就是wifi流量劫持,中间人可以看到用户的每一个请求,可以在页面嵌入恶意代码,使用恶意代码获取用户的信息,可以返回钓鱼页面。基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。这攻击其实跟网站本身没有什么关系,只是数据被中间人获取了而已,而由于HTTP是明文传输的,所以是极可能被窃取的。
如何让前端更安全?——XSS攻击防御详解
wf2017的博客
02-17 1万+
web安全学习
前端面试必备:浏览器安全与XSS攻击深度解析
"该资源是2021前端面试题汇总,重点聚焦于浏览器原理,其中详细讨论了XSS攻击的相关知识,包括攻击的概念、类以及具体的攻击步骤。" 在前端开发中,理解浏览器原理及其相关的安全性问题至关重要。XSS(Cross-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值