你知道的提高前端安全的手段有哪些_前端项目安全性如何提升-CSDN博客

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/135302198

本文详细探讨了前端XSS攻击的三种类型（存储型、反射型、DOM型），CSRF攻击的原理和防范措施，以及iframe安全、HTTPS安全问题、SQL注入、前端数据安全和第三方依赖包的风险。提供了一系列预防方案和最佳实践，包括使用CSP、验证、HTTPS强化等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

场景：见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。
攻击步骤：* 攻击者将恶意代码提交到目标网站的数据库中* 用户打开目标网站时，服务端将恶意代码从数据库中取出来，拼接在HTML中返回给浏览器* 用户浏览器在收到响应后解析执行，混在其中的恶意代码也同时被执行* 恶意代码窃取用户数据，并发送到指定攻击者的网站，或者冒充用户行为，调用目标网站的接口，执行恶意操作

反射型（Server端）：

与存储型的区别在于，存储型的恶意代码存储在数据库中，反射型的恶意代码在URL上
场景：通过 URL 传递参数的功能，如网站搜索、跳转等。
攻击步骤：* 攻击者构造出特殊的 URL，其中包含恶意代码。* 用户打开带有恶意代码的 URL 时，网站服务端将恶意代码从 URL 中取出，拼接在 HTML 中返回给浏览器。* 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。* 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。

Dom 型(浏览器端）：

DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。
场景：通过 URL 传递参数的功能，如网站搜索、跳转等。
攻击步骤：* 攻击者构造出特殊的 URL，其中包含恶意代码。* 用户打开带有恶意代码的 URL。* 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。* 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。
预防方案：（防止攻击者提交恶意代码，防止浏览器执行恶意代码）* 对数据进行严格的输出编码：如HTML元素的编码，JS编码，CSS编码，URL编码等等* CSP HTTP Header，即 Content-Security-Policy、X-XSS-Protection* 输入验证：比如一些常见的数字、URL、电话号码、邮箱地址等等做校验判断* 开启浏览器XSS防御：Http Only cookie，禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。* 验证码

CSRF 攻击：

跨站请求伪造，攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

攻击流程举例* 受害者登录 a.com，并保留了登录凭证（Cookie）* 攻击者引诱受害者访问了b.com* b.com 向 a.com 发送了一个请求：a.com/act=xx浏览器会默认携带a.com的Cookie* a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求* a.com以受害者的名义执行了act=xx* 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作
攻击类型* GET型：如在页面的某个 img 中发起一个 get 请求* POST型：通过自动提交表单到恶意网站* 链接型：需要诱导用户点击链接
预防方案：（CSRF通常从第三方网站发起，被攻击的网站无法防止攻击发生，只能通过增强自己网站针对CSRF的防护能力来提升安全性。）* 同源检测：通过Header中的Origin Header 、Referer Header 确定，但不同浏览器可能会有不一样的实现，不能完全保证* CSRF Token 校验：将CSRF Token输出到页面中（通常保存在Session中），页面提交的请求携带这个Token，服务器验证Token是否正确* 双重cookie验证：* 流程：* 步骤1：在用户访问网站页面时，向请求域名注入一个Cookie，内容为随机字符串（例如csrfcookie=v8g9e4ksfhw）* 步骤2：在前端向后端发起请求时，取出Cookie，并添加到URL的参数中（接上例POST www.a.com/comment?csr…* 步骤3：后端接口验证Cookie中的字段与URL参数中的字段是否一致，不一致则拒绝。* 优点：* 无需使用Session，适用面更广，易于实施。* Token储存于客户端中，不会给服务器带来压力。* 相对于Token，实施成本更低，可以在前后端统一拦截校验，而不需要一个个接口和页面添加。* 缺点：* Cookie中增加了额外的字段。如果有其他漏洞（例如XSS），攻击者可以注入Cookie，那么该防御方式失效。* 难以做到子域名的隔离。* 为了确保Cookie传输安全，采用这种防御方式的最好确保用整站HTTPS的方式，如果还没切HTTPS的使用这种方式也会有风险。* Samesite Cookie属性：Google起草了一份草案来改进HTTP协议，那就是为Set-Cookie响应头新增Samesite属性，它用来标明这个 Cookie是个“同站 Cookie”，同站Cookie只能作为第一方Cookie，不能作为第三方Cookie，Samesite 有两个属性值，Strict 为任何情况下都不可以作为第三方 Cookie ，Lax 为可以作为第三方 Cookie , 但必须是Get请求

iframe 安全

说明：* 嵌入第三方 iframe 会有很多不可控的问题，同时当第三方 iframe 出现问题或是被劫持之后，也会诱发安全性问题* 点击劫持* 禁止自己的 iframe 中的链接外部网站的JS
预防方案：* 为 iframe 设置 sandbox 属性，通过它可以对iframe的行为进行各种限制，充分实现“最小权限“原则* 设置 X-Frame-Options Header头，拒绝页面被嵌套* 设置 CSP 即 Content-Security-Policy 请求头* 减少对 iframe 的使用

错误的内容推断

说明：文件上传类型校验失败后，导致恶意的JS文件上传后，浏览器 Content-Type Header 的默认解析为可执行的 JS 文件
预防方案：设置 X-Content-Type-Options 头

第三方依赖包

减少对第三方依赖包的使用，如之前 npm 的包如：event-stream 被爆出恶意攻击数字货币；

HTTPS 安全问题

描述：黑客可以利用SSL Stripping这种攻击手段，强制让HTTPS降级回HTTP，从而继续进行中间人攻击。
预防方案：使用HSTS（HTTP Strict Transport Security），它通过下面这个HTTP Header以及一个预加载的清单，来告知浏览器在和网站进行通信的时候强制性的使用HTTPS，而不是通过明文的HTTP进行通信。这里的“强制性”表现为浏览器无论在何种情况下都直接向服务器端发起HTTPS请求，而不再像以往那样从HTTP跳转到HTTPS。另外，当遇到证书或者链接不安全的时候，则首先警告用户，并且不再让用户选择是否继续进行不安全的通信。

本地存储数据

避免重要的用户信息存在浏览器缓存中

静态资源完整性校验

描述：使用内容分发网络 (CDNs) 在多个站点之间共享脚本和样式表等文件可以提高站点性能并节省带宽。然而，使用CDN也存在风险，如果攻击者获得对 CDN 的控制权，则可以将任意恶意内容注入到 CDN 上的文件中（或完全替换掉文件），因此可能潜在地攻击所有从该 CDN 获取文件的站点。
预防方案：将使用 base64 编码过后的文件哈希值写入你所引用的

网络劫持

描述：DNS劫持（涉嫌违法）、HTTP劫持
预防方案：部署 HTTPS

中间人攻击

指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。

场景* 在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者，可以将自己作为一个中间人插入这个网络* Fiddler / Charles （花瓶）代理工具* 12306 之前的自己证书
过程* 客户端发送请求到服务端，请求被中间人截获* 服务器向客户端发送公钥* 中间人截获公钥，保留在自己手上。然后自己生成一个【伪造的】公钥，发给客户端* 客户端收到伪造的公钥后，生成加密hash值发给服务器* 中间人获得加密hash值，用自己的私钥解密获得真秘钥,同时生成假的加密hash值，发给服务器* 服务器用私钥解密获得假密钥,然后加密数据传输给客户端
预防方案：* 用可信的第三方CA厂商* 不下载未知来源的证书* 站点设置 https

sql 注入

描述：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗数据库服务器执行恶意的SQL命令,从而达到和服务器进行直接的交互
预防方案：* 后台进行输入验证，对敏感字符过滤。* 使用参数化查询，能避免拼接SQL，就不要拼接SQL语句。

前端数据安全

描述：反爬虫。如猫眼电影、天眼查等等，以数据内容为核心资产的企业
预防方案：* font-face拼接方式：猫眼电影、天眼查* background 拼接：美团* 伪元素隐藏：汽车之家* 元素定位覆盖式：去哪儿* iframe 异步加载：网易云音乐

其他建议

定期请第三方机构做安全性测试，漏洞扫描
使用第三方开源库做上线前的安全测试，可以考虑融合到CI中
code review 保证代码质量
默认项目中设置对应的 Header 请求头，如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等
对第三方包和库做检测：NSP(Node Security Platform)，Snyk