1.谈谈对前端安全的理解,有什么,怎么防范
前端安全问题主要有XSS、CSRF攻击
XSS:跨站脚本攻击
它允许用户将恶意代码植入到提供给其他用户使用的页面中,可以简单的理解为一种javascript代码注入。
XSS的防御措施:
- 过滤转义输入输出
- 避免使用
eval
、new Function
等执行字符串的方法,除非确定字符串和用户输入无关 - 使用
cookie
的httpOnly
属性,加上了这个属性的cookie
字段,js是无法进行读写的 - 使用
innerHTML
、document.write
的时候,如果数据是用户输入的,那么需要对象关键字符进行过滤与转义
CSRF:跨站请求伪造
其实就是网站中的一些提交行为,被黑客利用,在你访问黑客的网站的时候进行操作,会被操作到其他网站上
CSRF防御措施:
- 检测
http referer
是否是同域名 - 避免登录的
session
长时间存储在客户端中 - 关键请求使用验证码或者
token
机制
其他的一些攻击方法还有HTTP劫持、界面操作劫持