前端常见一些安全问题及解决方案

最新推荐文章于 2024-05-02 21:34:30 发布
VIP文章 最新推荐文章于 2024-05-02 21:34:30 发布
阅读量428 收藏
点赞数
分类专栏: 前端 开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RJ0024/article/details/108625505
版权

今天小编给大家说说前端常见一些安全问题及解决方案,有兴趣的小伙伴可以了解一下!

一、CSRF安全漏洞

CSRF是通过仿造客户端的请求获取信息的,对于jsonp的请求,客户端确实可以仿造,但是因为对于ajax的请求,有同源策略限制,已经做了域名过滤,所以一般不会有问题。

解决方案:

1、检查报头中的referer参数确保请求发自正确的网站
(但XHR请求课调用setRequestHeader方法来修改Referer报头)

2、对于任何重要的请求都需要重新验证用户的身份;

3、创建一个唯一的令牌(token),将其存在服务端的session中及客户端的cookie中,

对任何请求, 都检查二者是否一致。

二、XSS安全漏洞

通过URL带入的,这种带入主要是前端解析url中的参数,并对数参数执行了innerHTML 或者 html 或者 append 操作。在将参数html()或者append()到html文件中时,会执行其中的js代码,被错误用户获取到cookie等信息。

示例:

原始链接 : https://xx.xxx.com/efly.html?link=cc 被XSS注入以后的链接 : https://xx.xxx.com/efly.html?link=eeec<img src=1 onerror=alert(document.cookie)>

解决:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  睿江云计算
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
前端所有安全问题总结

				
			

			

				

					qq_38713274的博客
				

				

					04-04
					
					2476
					
				

			

		

		

			
				
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御
一、XSS 攻击
XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】
防御
1、对输入和 URL 参数进行过滤,过滤掉会导

			
		

	



                

              
                



	

		

			

				
					
Cross Site Scripting DOM (XSS) 攻击jQuery append() 的处理方法

				
			

			

				

					u013247068的博客
				

				

					08-11
					
					1023
					
				

			

		

		

			
				
安全红线使用Fortify工具进行扫描时,jquery append会报Cross Site Scripting DOM风险。解决该问题有两种办法。
一、原生dom方式
使用JavaScript原生dom替换append方法,原生dom会忽略<script>标签。比如,下列代码就会报Cross Site Scripting DOM攻击的问题

<div id=...

			
		

	



                


  
              

                


	

		

			

				
					
前端常见安全问题以及处理措施

				
			

			

				

					weixin_43502666的博客
				

				

					03-06
					
					266
					
				

			

		

		

			
				
1、XSS跨站脚本攻击—是一种常见的Web安全漏洞,攻击者在目标网站中通过注入恶意脚本,,当用户浏览该网页时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
防御措施:
(1) 对所用用户提交的内容进行输入验证,包括对URL、查询关键字、HTTP请求头等验证长度、格式
(2) 使用https协议
(3) 后台输入的校验
2. CSRF:跨站点伪造请求:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到

			
		

	





	

		

			

				
					
常见Web安全问题及防御策略

				
			

			

				

					2301_79098879的博客
				

				

					04-16
					
					264
					
				

			

		

		

			
				
资料过多,篇幅有限,需要文中全部资料可以点击这里获取前端面试资料PDF完整版!自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。[外链图片转存中…(img-4ghDIDWr-1713267317731)][外链图片转存中…(img-bq35jxnM-1713267317732)]资料过多,篇幅有限,需要文中全部资料可以点击这里获取前端面试资料PDF完整版!自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。

			
		

	



		

			
		



	

		

			

				
					
2024年8大典型的前端安全问题

					
最新发布

				
			

			

				

					2401_84253850的博客
				

				

					05-02
					
					962
					
				

			

		

		

			
				
XSS是跨站脚本攻击(Cross-Site Scripting)的简称,它是个老油条了,在OWASP Web Application Top 10排行榜中长期霸榜,从未掉出过前三名。XSS这类安全问题发生的本质原因在于,浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。

			
		

	





	

		

			

				
					
防xss攻击总结

				
			

			

				

					hw1287789687的专栏
				

				

					07-15
					
					1528
					
				

			

		

		

			
				
防xss攻击总结 原则用户输入什么,数据库就存储什么. 
在前端显示时,需要escape.html标签的title属性也需要escape看一个title属性未escape得例子: 
 
html代码: 
 
所以html标签的title属性也需要escape. 
但是,如果使用jQuery的attr方法设置title,则不需要escape:setPreviewOrgFullName:function

			
		

	





	

		

			

				
					
代码审查工具fortify安全问题解决方法

				
			

			

				

					06-02
				

			

		

		

			
				
整理代码审查工具fortify扫描的高中低危问题解决方法

			
		

	





	

		

			

				
					
前端安全:如何防止CSRF攻击?

				
			

			

				

					02-24
				

			

		

		

			
				
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安

			
		

	





	

		

			

				
					
前端安全系列:如何防止XSS攻击?

				
			

			

				

					02-25
				

			

		

		

			
				
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安

			
		

	





	

		

			

				
					
java开发常见问题

				
			

			

				

					09-08
				

			

		

		

			
				
java开发工作两年遇到的技术问题以及查找到的解决方案还有一些积累,涉及前端技术,android开发,java后台以及数据库sql优化,session共享,单点登录,kafka入门,websocket,线程安全等。

			
		

	





	

		

			

				
					
基于NodeJS的前后端分离的思考与实践(四)安全问题解决方案

				
			

			

				

					01-02
				

			

		

		

			
				
本文就在前后端分离模式的架构下,针对前端在Web开发中,所遇到的安全问题以及应对措施和注意事项,并提出解决方案。 跨站脚本攻击(XSS)的防御 问题及解决思路 跨站脚本攻击(XSS,Cross-site scripting)是最常见和...

			
		

	





	

		

			

				
					
DOM XSS利用 原理

				
			

			

				

					zgy956645239的博客
				

				

					03-30
					
					436
					
				

			

		

		

			
				
原理就是 通过复选框的接口 篡改参数来构造恶意请求
比如复选框原始请求是这个
http://www.baid.com?id=TRUE 
但是黑客构造后
http://www.baid.com?id=TRUE<script>getPassword</script>
然后黑客通过某种钓鱼的方式 发给受害者,
受害者点击后,浏览器 就会通过$("head").append(XXX) 方法解析参数,然后执行参数中的<script>getPassword</script...

			
		

	





	

		

			

				
					
所谓jQuery.append()、jQuery.html()存在的XSS漏洞

				
			

			

				

					aitaozhuo9068的博客
				

				

					02-28
					
					1159
					
				

			

		

		

			
				
使用jQuery.append()、jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。
简单的示例代码如下:

var xssStr = '<script>console.log(1)</script>';
$('#test').html(xssStr);

控制台会打印出“1”。
同...

			
		

	





	

		

			

				
					
前端安全问题以及解决方案汇总

				
			

			

				

					qq_40334370的博客
				

				

					12-08
					
					1429
					
				

			

		

		

			
				
前端常见的7个安全方面问题:1.iframe2.opener3.CSRF(跨站请求伪造)4.XSS(跨站脚本攻击)5.ClickJacking(点击劫持)6.HSTS(HTTP严格传输安全)7.CND劫持。

			
		

	





	

		

			

				
					
xss攻击中受影响的是服务器还是客户端,XSS攻击

				
			

			

				

					weixin_32347459的博客
				

				

					08-01
					
					1051
					
				

			

		

		

			
				
XSS(跨站脚本攻击)原理Xss(cross-site scripting)攻击指的是攻击者向web页面插入恶意html标签或者javascript。当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航恶意网站,携带木马等XSS攻击分类反射型XSS存储型XSSDOMXSSXSS根源就是没完全过滤客户端提交的数据反射型XSS反射性XSS,又称为非持...

			
		

	





	

		

			

				
					
前端安全常见安全问题解决方案

				
			

			

				

					m_sy530的博客
				

				

					10-20
					
					3822
					
				

			

		

		

			
				
前端开发过程中,我们不仅要考虑性能优化问题,还需要考虑各类安全问题,本文章为大家分享了几类常见前端安全问题以及相应的解决方案

			
		

	





	

		

			

				
					
App安全架构之前端安全防护

				
			

			

				

					speedoooo的博客
				

				

					11-14
					
					1497
					
				

			

		

		

			
				
本文浅显的介绍了现金前端8大安全问题,以及市面上主流的安全解决思路。

			
		

	





	

		

			

				
					
前端安全问题解决方案

				
			

			

				

					qq_39143170的博客
				

				

					08-18
					
					3028
					
				

			

		

		

			
				
前端安全问题解决方案



			
		

	





	

		

			

				
					
关于HTML 代码注入,XSS攻击问题解决

					
热门推荐

				
			

			

				

					帅大叔的博客
				

				

					10-19
					
					3万+
					
				

			

		

		

			
				
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script>
   var body= document.body;

			
		

	





	

		

			

				
					
前端项目遇到的难点及解决方案

				
			

			

				

					04-20
				

			

		

		

			
				
这个问题属于技术问题,我可以回答。...解决方案可以根据具体情况而定,如使用一些成熟的框架库、进行代码优化、选择适合的布局方式、加强网站安全性等。具体的方法可以根据具体项目进行选择和实践。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值