前端安全问题及解决办法

最新推荐文章于 2024-03-06 13:37:32 发布
最新推荐文章于 2024-03-06 13:37:32 发布
阅读量751 收藏 11
点赞数 2
文章标签: 前端 ViewUI
原文链接:http://www.cnblogs.com/superSmile/p/8039451.html
版权

一、随着前端的快速发展,各种技术不断更新,但是前端的安全问题也值得我们重视,不要等到项目上线之后才去重视安全问题,到时候被黑客攻击的时候一切都太晚了。

二、本文将讲述前端的六大安全问题,是平常比较常见的安全问题,当然如果还有其他必要重要的安全问题大家可以帮忙补充:

1、XSS(Cross-Site Scripting)脚本攻击漏洞;

2、CSRF(Cross-sit request forgery)漏洞;

3、iframe安全隐患问题;

4、本地存储数据问题;

5、第三方依赖的安全性问题;

6.HTTPS加密传输数据;

下面将对这些问题进行分享说明。

三、XSS(Cross-Site Scripting)脚本攻击漏洞

    XSS是前端谈论最多的安全问题,是通过在你的输入文本当中或者这HTML标签当中插入js脚本进行攻击,比如会在你的a标签或者img标签之前插入一些脚本文件就能攻击到你的网站,所有在用HTML去切入到div的时候一定要注意,或者长串的字符串嵌入到a标签的时候。

解决办法:

1:如果要使用HTML进行转换内容的时候,写代码时改为innerText而不用innerHTML,或者把<script><iframe>等标签替换掉;

 var HtmlUtil = {
     /*1.用浏览器内部转换器实现html转码*/
     htmlEncode:function (html){
         //1.首先动态创建一个容器标签元素,如DIV
         var temp = document.createElement ("div");
         //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
         (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
         //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
         var output = temp.innerHTML;
         temp = null;
         return output;
     },
     /*2.用浏览器内部转换器实现html解码*/
     htmlDecode:function (text){
         //1.首先动态创建一个容器标签元素,如DIV
         var temp = document.createElement("div");
         //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
         temp.innerHTML = text;
        //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
        var output = temp.innerText || temp.textContent;
         temp = null;
        return output;
     }
 };

2.对一些切入标签的字符串进行转义:

var HtmlUtil = {
      /*1.用正则表达式实现html转码*/
      htmlEncodeByRegExp:function (str){  
           var s = "";
           if(str.length == 0) return "";
           s = str.replace(/&/g,"&amp;");
           s = s.replace(/</g,"&lt;");
          s = s.replace(/>/g,"&gt;");
          s = s.replace(/ /g,"&nbsp;");
          s = s.replace(/\'/g,"&#39;");
          s = s.replace(/\"/g,"&quot;");
          return s;  
    },
    /*2.用正则表达式实现html解码*/
    htmlDecodeByRegExp:function (str){  
          var s = "";
          if(str.length == 0) return "";
          s = str.replace(/&amp;/g,"&");
          s = s.replace(/&lt;/g,"<");
          s = s.replace(/&gt;/g,">");
          s = s.replace(/&nbsp;/g," ");
          s = s.replace(/&#39;/g,"\'");
          s = s.replace(/&quot;/g,"\"");
          return s;  
        }
    };

四、CSRF(Cross-sit request forgery)漏洞

CSRF也称为跨站请求伪造,其实就是对网站中的一些表单提交行为被黑客利用。比如你的网站登录的时候存到cookie的一些个人信息,当你访问黑客的网站有一段相同代码隐藏div,但你点击的时候就会导致你的网站被登出或者被登录,就是在对别的网站就行操作的时候会对你之前访问的网站发送请求。

解决办法:

1.增加token验证.因为cookie发送请求的时候会自动增加上,但是token却不会,这样就避免了攻击

2.Referer验证。页面来源的判断

五、iframe安全隐患问题

有时候前端页面为了显示别人的网站或者一些组件的时候,就用iframe来引入进来,比如嵌入一些广告等等。但是有些iframe安全性我们无法去评估测试,有时候会携带一些第三方的插件啊,或者嵌入了一下不安全的脚本啊,这些都是值得我们去考虑的。

解决办法:

1.使用安全的网站进行嵌入;

2.在iframe添加一个叫sandbox的属性,浏览器会对iframe内容进行严格的控制,详细了解可以看看相关的API接口文档。

六、本地存储数据问题

很多开发者为了方便,把一些个人信息不经加密直接存到本地或者cookie,这样是非常不安全的,黑客们可以很容易就拿到用户的信息,所有在放到cookie中的信息或者localStorage里的信息要进行加密,加密可以自己定义一些加密方法或者网上寻找一些加密的插件,或者用base64进行多次加密然后再多次解码,这样就比较安全了。

七、第三方依赖安全隐患

现如今的项目开发,很多都喜欢用别人写好的框架,为了方便快捷,很快的就搭建起项目,自己写的代码不到20%,过多的用第三方依赖或者插件,一方面会影响性能问题,另一方面第三方的依赖或者插件存在很多安全性问题,也会存在这样那样的漏洞,所以使用起来得谨慎。

解决办法:手动去检查那些依赖的安全性问题基本是不可能的,最好是利用一些自动化的工具进行扫描过后再用,比如NSP(Node Security Platform),Snyk等等。

八、HTTPS加密传输数据

在浏览器对服务器访问或者请求的过程中,会经过很多的协议或者步骤,当其中的某一步被黑客拦截的时候,如果信息没有加密,就会很容易被盗取。所以接口请求以及网站部署等最好进行HTTPS加密,这样防止被人盗取数据。

前端安全问题先分享到这里,后续再慢慢补充,喜欢的可以点关注,谢谢!

转载于:https://www.cnblogs.com/superSmile/p/8039451.html

dazu9487
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
前端常见安全问题
m0_44973790的博客
04-22 7239
文章目录 一、常见的安全问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、H
前端安全】常见安全问题解决方案
m_sy530的博客
10-20 3592
前端开发过程中,我们不仅要考虑性能优化问题,还需要考虑各类安全问题,本文章为大家分享了几类常见的前端安全问题以及相应的解决方案。
前端常见的安全问题以及处理措施
最新发布
weixin_43502666的博客
03-06 226
1、XSS跨站脚本攻击—是一种常见的Web安全漏洞,攻击者在目标网站中通过注入恶意脚本,,当用户浏览该网页时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。 防御措施: (1) 对所用用户提交的内容进行输入验证,包括对URL、查询关键字、HTTP请求头等验证长度、格式 (2) 使用https协议 (3) 后台输入的校验 2. CSRF:跨站点伪造请求:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到
浅谈前端安全
weixin_43675915的博客
06-10 6344
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端(十七)——Web应用的安全性研究
杜永康的博客
09-06 905
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程中,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
前端所有安全问题总结
qq_38713274的博客
04-04 2454
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
如何用Nginx解决前端跨域问题
01-10
最简单的解决方法,就是把浏览器设为忽略安全问题,设置–disable-web-security。不过这种方式开发PC页面到还好,如果是移动端页面就不行了。 解决办法 使用Nginx转发请求。把跨域的接口写成调本域的接口,然后将...
Java 前端与后端的网络安全《白帽子讲Web安全
04-15
阿里巴巴最具价值的安全专家吴翰清的《白帽子讲Web安全》 以思维导图模式概况了本书的最主要内容,值得学习。
js跨域问题浅析及解决方法优缺点对比
10-25
所谓js跨域问题,是指在一个域下的页面中通过js访问另一个不同域下 的数据对象,出于安全性考 虑,几乎所有浏览器都不允许这种跨域访问,这就导致在一些ajax应用中,使用跨域的web service会成为一个问题。 要解决...
手机号码、邮箱等敏感数据前端显示脱敏处理的解决方案
02-08
在我们数据库中有些时候会保存一些用户的敏感信息,比如:手机号、银行卡等信息,如果这些信息以明文的方式保存,那么是不安全的。 假如:黑客黑进了数据库,或者离职人员导出了数据,那么就可能导致这些敏感数据的...
前端常见的安全问题
laihongfeng的博客
03-07 7616
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
8大前端安全问题
面向对象的夜猫子
11-02 697
当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。比如说,SQL注入漏洞发生在后端应用中,是后端安全问题,跨站脚本攻击(XSS)则是前端安全问题
前端安全问题解决防范
MichelleZhai的博客
05-15 967
文章目录一、常见的安全问题二、XXS攻击(Cross Site Scripting)(跨站脚本攻击)三、CSRF安全漏洞(跨站请求伪造)四、SQL注入五、文件上传漏洞六、OS命令注入攻击 一、常见的安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、HTTPS加密传输数据; 7、SQL注入 8、文件上传漏洞
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 736
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
104、前端5种安全问题及防范
sunnnnh的博客
08-26 3532
1.CSRF(跨站请求伪造) (1)什么是CSRF 你可以这么理解 CSRF 攻击:攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。总结起来就是:个人隐私暴露及财产安全问题。 /* * 阐述 CSRF 攻击思想:(核心2和3) * 1、浏览并登录信任网站(举例:淘宝) * 2、登录成功后在浏览器产生信息存储(举例:cookie) * 3、用户在没有登出淘宝的情况下,访问危险网站 * 4、危险网站中存在..
前端安全—常见的攻击方式及防御方法
Innocence_0的博客
01-02 989
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
前端安全问题
JackChan
06-15 538
前端安全问题
前端常见安全问题
NJR10byh的博客
02-27 4642
以下是对一些常见的前端安全问题的总结 一、iframe 1、防止自己的网站不被其他网站的 iframe 引用 // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.location){ top.location.href = 'http://www.baidu.com' } 2、禁用被使用的 iframe 对当前网站某些操作 在HTML5中,iframe有了一个叫做sa
前端面试题怎么解决跨域问题
06-09
解决跨域问题的常用方法有以下几种: 1. JSONP JSONP(JSON with Padding)是一种跨域解决方案。它利用了 HTML 中 <script> 标签可以跨域加载资源的特性,通过在 URL 中传递一个回调函数名,服务器返回以该回调...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值