读书笔记(二十二):前端安全

已于 2024-03-03 13:13:54 修改
阅读量91 收藏
点赞数
文章标签: 网络安全
于 2022-04-19 11:08:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FantasyBreaker/article/details/124254698
版权

1.单页应用安全策略
单页应用采用前后端分离的设计方式,路由由前端管理,通过ajax进行通信,用户请求页面时,后端经常无法获取用户身份信息。

  • 使用HTTPS来对传输内容(昵称、密码、token等)进行加密。
  • 不要在URL query中传递敏感数据。
  • 升级npm包,npm在6.0之后可以检测三方库隐患。
# 扫描所有依赖,列出依赖中有安全隐患的包
npm audit

# 把不安全的包升级到可兼容的版本
npm audit fix
  • 响应头设置
    Content-Security-Policy:设置应用是否可以引用某些来源的内容,进而防止XSS。
    关闭X-Powered-By,以避免暴露服务器端信息。
    增加Public Key Pinning,预防中间人伪造证书。
    Strict-Transport-Security:浏览器只能通过HTTPS访问当前资源。
    X-Download-Options:IE8及以上支持,用来预防下载内容的安全隐患。
    Cache-Control和Pragma header以关闭浏览器端缓存。
    X-Content-Type-Options:禁用浏览器内容嗅探。
    X-Frame-Options:预防clickjacking漏洞,是否允许在frame或iframe标签中渲染某个页面。
    X-XSS-Protection:当检测到跨站脚本攻击时,浏览器会停止加载页面。

2.JWT鉴权
鉴权过程中,为了验证用户身份,需要浏览器向服务器提供一个验证信息,称之为token。通常由JSON数据格式组成,通过散列算法生成一个字符串,JSON Web Token(JWT),任何token持有者都可以无差别用它来访问相关资源。

一个JWT包含:header(消息头)、payload(消息体,储存用户数据)、signature(签名)。signature是基于前两部分生成的签名,前两部分分别通过Base64URL算法生成两组字符串,再和signature结合后通过.号分割,就是最终的token。

当客户端提交用户名/密码并通过认证后,就会获得JWT的token,接着通过js脚本在所有数据请求的header中加上token。服务器端接收到请求后,验证token的signature是否等同于payload,进而得知payload字段是否被中间人更改。一般将token存储在本地session storage中。

隐患:攻击者可以主动注入恶意脚本或使用户输入,通过js代码来偷取token(XSS),一般的防御手段是采用HTML转义来过滤用户输入,需要将用户输入的特殊字符进行转义。

3.Authentication cookie鉴权
cookie是含有有效期和相关domain并存储在浏览器中的键值对组合。
可以用js创建:

document.cookie = '123'

可以在服务器端设置响应头创建:

set-Cookie:123

浏览器会自动在每个请求中加入相关domain下的cookie,一般分为两种:

  • session cookie:会随着用户关闭浏览器而被清除,不会被标记任何过期时间Expires或最大时限Max-Age。
  • permanent cookie:会在用户关闭浏览器之后被浏览器持久化存储。

cookie安全配置:

  • HttpOnly cookie: 在浏览器端,js没有读cookie的权限。
  • Secure cookie:只有在特定安全通道(HTTPS)下,传输链路的请求中才会自动加入相关cookie。
  • SameSite cookie:在跨域情况下,相关cookie无法被请求携带,主要是为了防止CSRF攻击。

隐患:cookie中直接存储了用户的身份认证信息,如果被读取是很可怕的;跨域访问技术(如CORS,跨域资源共享)的同源策略能保证不同源的客户端脚本在没有明确授权的情况下,无法读写对方资源。同源策略只是针对浏览器的编程脚本语言,如果对一个恶意服务器发送ajax请求,同源策略会限制发送,但如果请求直接通过HTML form发送,那同源策略就毫无办法了。为了防御XSS,设置httpOnly;防御CSRF,设置Samesite。

4.综合鉴权
结合上述两种鉴权方式,JWT的signature部分维护在设置了HttpOnly的cookie中,意味着js无法读取完整的JWT信息。同时,每次请求中都会携带cookie,服务器端将其返回给浏览器后进行存储,这样JWT信息在每次请求时都可以被更新,过期时间也会被自动加入其中。

鉴权流程:

  • 对于单页应用中的每个页面,需要检查cookie中是否存在JWT payload,如果存在表示用户已经进行鉴权,否则重定向到登录页面。
  • 用户在未授权情况下,在登陆时将用户名和密码提交给服务器端,在服务器端返回的信息中设置Anthentication
    cookie,使cookie中含有JWT信息。
黑莲烈焰使
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
组织社会学十讲读书笔记.docx
04-07
组织社会学十讲读书笔记
读书笔记读书笔记读书笔记
03-29
读书笔记读书笔记读书笔记
notes:前端学习读书笔记,不定时更新
05-14
前端学习读书笔记,欢迎star,共同进步
markdown:前端学习笔记
05-04
学习笔记(持续更新) 验证你是否真正掌握一个知识的最好方法,就是看你能否用直白浅显的语言把复杂深奥的问题和知识讲清楚 -- 费曼技巧「以教为学」 大纲 前端杂记 策略模式 发布订阅者模式 责任链模式(todo) 0.1...
前端第二阶段笔记( JavaScript )
04-03
前端第二阶段笔记( JavaScript )
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
钢桁架结构振动特性渐变分析工具
05-20
钢桁架结构振动特性渐变分析工具
数据库实战-收集一些常见的 MySQL 死锁案例.zip
05-20
数据库实战-收集一些常见的 MySQL 死锁案例.zip 数据库实战-收集一些常见的 MySQL 死锁案例.zip 在工作过程中偶尔会遇到死锁问题,虽然这种问题遇到的概率不大,但每次遇到的时候要想彻底弄懂其原理并找到解决方案却并不容易。这个项目收集了一些常见的 MySQL 死锁案例,大多数案例都来源于网络,并对其进行分类汇总,试图通过死锁日志分析出每种死锁的原因,还原出死锁现场。 实际上,我们在定位死锁问题时,不仅应该对死锁日志进行分析,还应该结合具体的业务代码,或者根据 binlog,理出每个事务执行的 SQL 语句。
Android的移动应用与php服务器交互实例源码.rar
05-20
Android的移动应用与php服务器交互实例源码.rar
【滤波跟踪】基于matlab平方根容积卡尔曼滤波机器人手臂运动跟踪【含Matlab源码 4540期】.mp4
05-20
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
计算BMI等一些关于热量和蛋白质摄入的小工具.zip
05-20
蛋白质是生物体中普遍存在的一类重要生物大分子,由天然氨基酸通过肽键连接而成。它具有复杂的分子结构和特定的生物功能,是表达生物遗传性状的一类主要物质。 蛋白质的结构可分为四级:一级结构是组成蛋白质多肽链的线性氨基酸序列;二级结构是依靠不同氨基酸之间的C=O和N-H基团间的氢键形成的稳定结构,主要为α螺旋和β折叠;三级结构是通过多个二级结构元素在三维空间的排列所形成的一个蛋白质分子的三维结构;四级结构用于描述由不同多肽链(亚基)间相互作用形成具有功能的蛋白质复合物分子。 蛋白质在生物体内具有多种功能,包括提供能量、维持电解质平衡、信息交流、构成人的身体以及免疫等。例如,蛋白质分解可以为人体提供能量,每克蛋白质能产生4千卡的热能;血液里的蛋白质能帮助维持体内的酸碱平衡和血液的渗透压;蛋白质是组成人体器官组织的重要物质,可以修复受损的器官功能,以及维持细胞的生长和更新;蛋白质也是构成多种生理活性的物质,如免疫球蛋白,具有维持机体正常免疫功能的作用。 蛋白质的合成是指生物按照从脱氧核糖核酸(DNA)转录得到的信使核糖核酸(mRNA)上的遗传信息合成蛋白质的过程。这个过程包括氨基酸的活化、多肽链合成的起始、肽链的延长、肽链的终止和释放以及蛋白质合成后的加工修饰等步骤。 蛋白质降解是指食物中的蛋白质经过蛋白质降解酶的作用降解为多肽和氨基酸然后被人体吸收的过程。这个过程在细胞的生理活动中发挥着极其重要的作用,例如将蛋白质降解后成为小分子的氨基酸,并被循环利用;处理错误折叠的蛋白质以及多余组分,使之降解,以防机体产生错误应答。 总的来说,蛋白质是生物体内不可或缺的一类重要物质,对于维持生物体的正常生理功能具有至关重要的作用。
IMG_20240520_180055.HEIC
05-20
IMG_20240520_180055.HEIC
基于java实现的智慧医院门诊管理系统项目源码+设计文档+实验报告+详细资料.zip
05-20
基于java实现的智慧医院门诊管理系统项目源码+设计文档+实验报告+详细资料.zip
JavaScript_网页复制工具,网页抓取预渲染和SEO提升.zip
05-20
JavaScript
batik-xml-1.7.jar
05-20
Batik是为想使用svg格式图片来实现各种功能的应用程序和Applet提供的一个基于java的工具包
node-v4.7.0-headers.tar.gz
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v14.19.0-headers.tar.xz
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v18.19.1-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JavaScript_DeFi开发人员路线图是一个精心策划的开发人员手册,其中包括DApps开发资源和参考的最佳工具列表.zip
05-20
JavaScript
JSP学习笔记(二):获取表单的数据
05-27
好的,您的问题是关于 JSP 获取表单数据的。在 JSP 中,获取表单数据可以通过以下几种方式实现: 1. 使用 request 对象的 getParameter() 方法获取表单数据,例如: ``` <% String username = request.getParameter("username"); String password = request.getParameter("password"); %> ``` 2. 使用 EL 表达式获取表单数据,例如: ``` ${param.username} ${param.password} ``` 3. 使用 JSTL 标签库获取表单数据,例如: ``` <c:set var="username" value="${param.username}" /> <c:set var="password" value="${param.password}" /> ``` 以上三种方式均可以获取表单数据,具体使用哪种方式取决于个人喜好和项目需求。希望能对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值