JS面试—安全性

最新推荐文章于 2024-05-06 13:49:33 发布
最新推荐文章于 2024-05-06 13:49:33 发布
阅读量675 收藏
点赞数 1
分类专栏: JavaScript知识点总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/We_jia/article/details/90144491
版权

目录

一、题目

常见的前端安全问题有哪些

二、知识点

2.1 XSS 跨站请求攻击

2.2 XSRF跨站请求伪造

一、题目

常见的前端安全问题有哪些

二、知识点

2.1 XSS 跨站请求攻击

  • 举例:

在新浪博客写一遍文章,同时偷偷插入一段<script>

攻击代码中,获取cookie,发送自己的服务器 

发布博客,有人查看博客

会把查看者的cookie发送到攻击者的服务器

  • 预防:

前端替换关键字,例如<为&lt >为&gt

后端替换

是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie:

httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。

2.2 XSRF跨站请求伪造

  • 举例:

你已登录一个购物网站,正在浏览商品

该网站付费接口是xxx.com/pay?id=100但是没有任何验证

然后你收到一封邮件,隐藏着<img src=xxx.com/pay?id=100>

你查看邮件的时候,就已经悄悄的付费购买了

  • 预防:

增加验证流程,如输入指纹,密码,短信验证码

 

We_jia
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS中常见的安全漏洞
qq_34309704的博客
04-09 1万+
  1、基于DOM的跨站点脚本编制(XSS) ①XSS(Cross Site Script):跨站点脚本编制,指的是攻击者向合法的web页面插入恶意的脚本代码(通常是是HTML代码和JS代码),然后提交给服务器,随即服务器响应页面(被植入的恶意脚本代码),攻击者可以利用这些恶意脚本代码进行会话挟持登攻击。例如:攻击者在论坛中放一个看似安全得连接,骗取用户点击之后,盗取cookies得用户隐私信...
JavaScript安全性:XSS、CSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4033
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
前端 JS 安全对抗原理与实践
Innocence_0的博客
03-10 920
如今这个时代,数据已经变得越来越重要,网页和APP是主流的数据载体,如果获取数据的接口没有设置任何的保护措施的话,数据就会被轻易地窃取或篡改。除了数据泄露外,一些重要功能的接口如果没有做好保护措施也会被恶意调用造成DDoS、条件竞争等攻击效果,比如如下几个场景:![图片](https://img-一些营销活动类的Web页面,领红包、领券、投票、抽奖等活动方式很常见。此类活动对于普通用户来说应该是“拼手气”,而对于非正常用户来说,可以通过直接刷活动API接口的这种“作弊”方式来提升“手气”。
2024年最新【安全策略】前端 JS 安全对抗&amp;浏览器调试方法,2024年最新百度、阿里、滴滴、新浪的面试心经总结
2401_84281655的博客
05-06 989
变量混淆、字符串混淆、属性加密、控制流平坦化、调试保护和多态变异是一种理想且实用的JavaScript保护方案,可以使代码变得难以阅读和分析,同时不影响代码的原有功能。🔒 变量混淆:将变量名、方法名、常量名随机变为无意义的乱码字符串,降低代码可读性。例如,将变量名转换为单个字符或十六进制字符串,使其更难被理解和解析。🔑 字符串混淆:将字符串集中放置,并进行MD5或Base64编码存储,使代码中不出现明文字符串。这样做可以避免使用全局搜索字符串的方式来定位到代码的入口点,增加代码的安全性
js安全性
水泽木兰
12-12 1366
1 js不能做什么 js针对恶意代码的第一条防线就是这种语言不支持某些能力。例如客户端的js不提供任何方式来读取,写入和删除客户端计算机上的文件或目录。 第二条防线在于js在自己所支持的某些功能上强加限制。例如,客户端的js可以脚本化HTTP协议来和web服务器交换数据,并且它甚至可以从FTP或其他服务器下载数据。但js不提供通用的网络原语,并且无法为任何主机打开一个socket或者接受一个来
JS安全加密
09-07
JS加密,用户web项目注册登录时提交表单的安全性JS加密,用户web项目注册登录时提交表单的安全性JS加密,用户web项目注册登录时提交表单的安全性
一些可能会用到的Node.js面试题
01-20
前言 从ECMAScript标准,Node.js语法以及NPM模块角度来... 如何保证依赖的安全性? 答案 1. 什么是错误优先的回调函数? 错误优先的回调函数(Error-First Callback)用于同时返回错误和数据。第一个参数返回错误,并且
HTML+CSS+JS网页设计面试深度解析.zip
最新发布
06-13
2.表单验证与提交:如何确保用户输入数据的合法性和安全性,以及如何通过HTML实现表单的提交。 3.响应式设计:如何使网页在不同设备和屏幕尺寸下都能良好地显示。 2.CSS: 1.选择器优先级:理解并应用CSS选择器的...
HTML、JS及CSS面试与操作.docx
11-16
HTML、JS 及 CSS 面试与操作 本文档主要涉及 HTML、JS 及 CSS 三个领域的知识点,涵盖了 HTML 的基本结构和标签、CSS 的样式和布局、JS 的交互和动态效果等方面。 1. HTML 基本结构和标签 * HTML 文档的基本结构...
2023年VUE面试题大全
04-02
安全性更高,客户端支持防御XSRF,就是让你的每个请求都带一个从cookie中拿到的key,根据浏览器同源策略,假冒的网站是拿不到你cookie中得key的,这样,后台就可以轻松辨别出这个请求是否是用户在假冒网站上的误导...
web前端开发中的安全性问题
crli的博客
03-11 6388
跨站脚本攻击(XSS攻击) 恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: 1. 输入过滤,输入符合预期的格式的数据,比如图片上传,设置accept属性,或者只能输入字母或者日期格式等,同时后台对前台输入的数据也应该做编码或转义来防范XSS攻击。 2.对所有要动态输出到页面的...
tcp节点之间 数据传输_确保使用节点js进行数据传输时的完整性和不可否认性
weixin_26636643的博客
09-19 715
tcp节点之间 数据传输In this article, we will explain a few well known Cryptographic Primitives that ensures integrity, authenticity, and non-repudiation in data transmission using node.js. 在本文中,我们将解释一些众所周知的加密...
安全机制
Steward2011的专栏
07-20 3475
安全机制包括两个不同的部分,第一是网页的安全,包括但是不限于网页数据安全传输、跨域访问、用户数据安全等,第二部分是游览器的安全,具体是指网页或者JavaScript代码有一些安全问题或者存在安全漏洞,游览器也能够在运行它们的时候保证自身的安全,不受攻击从而泄漏数据或者使系统破坏网页安全模型安全模型基础当用户访问网页的时候,游览器需要确保该网页中数据的安全性,如Cookie、用户名和密码等信息不会被其
js安全问题
WelcomeBack
08-15 562
可以通过注册session来防止js代码外泄,其实就是使用了网站的盗链功能
Web安全面试题(一)-含解答
qq_30384029的博客
11-08 1万+
Web安全面试题-含解答DomainAjaxSQLiXSSPHPCSRFHTML5JAVA Domain 1、解释一下同源策略 源:协议、域名、端口 同源:若地址中的协议、域名、端口都相同,即为同源。反之,有一者不同即为不同源。 同源策略:为浏览器的一个安全功能,不同源的客户端脚本没有明确授权的情况下,无法读写对方的资源。 2、哪些东西是可以同源获取的? 页面的链接、重定向、表单提交 跨域资...
2019最新前端JavaScript面试题集锦(一)(满满都是干货)
热门推荐
qq_42451932的博客
01-07 2万+
JavaScript面试题集锦 1.js基础 1.eval是做什么的?  它的功能是把对应的字符串解析成JS代码并运行;  应该避免使用eval,不安全,非常耗性能(2次,一次解析成js语句,一次执行)。  由JSON字符串转换为JSON对象的时候可以用eval,var obj =eval('('+ str +')'); 2.什么是window对象? 什么是document对象?  ...
javascript面试的重点有哪些
02-17
8. 安全性:了解 JavaScript 中的安全问题,例如 XSS 攻击、CSRF 攻击等。 9. 其他:还有其他可能涉及的知识点,例如模块化、RESTful API、跨域问题、前端工程化等。 需要注意的是,面试可能会根据应聘者的经验和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值