目录
一、题目
常见的前端安全问题有哪些
二、知识点
2.1 XSS 跨站请求攻击
- 举例:
在新浪博客写一遍文章,同时偷偷插入一段<script>
攻击代码中,获取cookie,发送自己的服务器
发布博客,有人查看博客
会把查看者的cookie发送到攻击者的服务器
- 预防:
前端替换关键字,例如<为< >为>
后端替换
是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie:
httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。
2.2 XSRF跨站请求伪造
- 举例:
你已登录一个购物网站,正在浏览商品
该网站付费接口是xxx.com/pay?id=100但是没有任何验证
然后你收到一封邮件,隐藏着<img src=xxx.com/pay?id=100>
你查看邮件的时候,就已经悄悄的付费购买了
- 预防:
增加验证流程,如输入指纹,密码,短信验证码