前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。
前端经常遇到的攻击有
- XSS
- CSRF
- 网络劫持
- 控制台注入
XSS攻击(跨站脚本攻击)
问题:
简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的input获取的数据库中的内容。如:
<div>注入了一个script<script type="type/javascript" src="恶意网站"></script></div>
通过上面的注入代码就会让用户在无意间携带cookie到恶意网站上,从而泄露信息。
应对:
最直接的方法就是将一些敏感的标签进行转义,如:空格、<>
htmlEncodeByRegExp:function (str){
var s = "";
if(str.length == 0) return "";
s = str.replace(/&/g,"&");
s = s.replace(/</g,"<"); s = s.replace(/>/g,"&