前端常见安全问题

最新推荐文章于 2023-09-26 13:46:23 发布
最新推荐文章于 2023-09-26 13:46:23 发布
阅读量344 收藏
点赞数 1
文章标签: 前端 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hannah2233/article/details/125689488
版权
  • iframe
  • opener
  • CSRF(跨站请求伪造)
  • XSS(跨站脚本攻击)
  • CND劫持

文章目录

一、 iframe

1、 如何让自己的网站不被其他网站的iframe引用?

// 检测当前网站是否被第三方iframe引用
// 若相等则证明没有被引用
if(top.location != self.location) {
	top.location.href = 'http://www.baidu.com'
}

2、如何禁用“被使用的iframe对当前网站”某些操作

  • sandbox是h5的新属性,主要提高iframe安全系数
  • 现在有一场景:我的网站需要 iframe 引用某网站,但是不想被该网站操作DOM、不想加载某些js(广告、弹框等)、当前窗口被强行跳转链接,可以设置sandbox属性

二、 opener

2-1 问题

在项目中需要打开新标签进行跳转方式

// 1) HTML -> <a target='_blank' href='http://www.baidu.com'>
// 2)  JS  -> window.open('http://www.baidu.com')

1、 看起来没有问题,但是存在漏洞

  • 通过这两种方式打开的页面可以使用window.opener来访问同源页面的window对象

2、 场景:A 页面通过<a>或 window.open 方式,打开 B 页面。但是 B 页面存在恶意代码如下:

  • window.opener.location.replace('https://www.baidu.com') 【此代码仅针对打开新标签有效】
  • 此时,用户正在浏览新标签页,但是原来网站的标签页已经被导航到了百度页面。
  • 恶意网站可以伪造一个足以欺骗用户的页面,使得进行恶意破坏。
  • 即使在跨域状态下 opener 仍可以调用 location.replace 方法。
2-2 解决

1、 <a>

<a target = "_black" href="" rel="noopener noreferrer nofollow">a标签跳转url</a>
<!-- 
  通过 rel 属性进行控制:
  noopener:会将 window.opener 置空,从而源标签页不会进行跳转(存在浏览器兼容问题)
  noreferrer:兼容老浏览器/火狐。禁用HTTP头部Referer属性(后端方式)。
  nofollow:SEO权重优化,详情见 https://blog.csdn.net/qq_33981438/article/details/80909881
 -->

2、 b.window.open()

<button onclick="openurl("http://www.baidu.com")">click跳转</button>

function openurl(url) {
	var newTab = window.open();
	newTab.opener = null;
	newTab.location = url;
}

三、 CSRF/XSRF(跨站请求伪造)

CSRF攻击: 攻击者调用你的身份,以你的名义进行恶意请求。能做的事情:

  • 以你的名义发送邮件、发信息、盗用账号、购买商品、虚拟货币转账等
  • 个人隐私及财产安全问题

1、 CSRF攻击思想:

  • 浏览并登录信任网站
  • 登陆成功在浏览器产生cookie存储
  • 此时访问危险网站,网站存在恶意代码,代码发送一个恶意请求
  • 携带在浏览器产生的额信息进行恶意请求
  • 网站请求为合法请求(无法区分是否为该用户发送)

2、 防御措施(添加token/HTTP头自定义属性):

  • 涉及到数据修改造作严格使用post请求而不是get请求
  • HTTP协议中使用Referer属性来确定请求来源进行过滤(禁止外域)
  • 请求地址添加token,使黑客无法伪造用户请求
  • HTTP头自定义属性验证
  • 显示验证方式: 添加验证码、密码等

四、XSS/CSS(跨站脚本攻击Cross Site Script)

攻击者在目标网站植入恶意脚本(js/html),用户在浏览器上运行时可以获取用户敏感信息(cookie/session)、修改web页面来欺骗用户

1、 浏览器遇到html中的script标签时,会解析并执行其中的js代码
2、 XSS类型:

  • 持久型XSS: 将脚本植入到服务器上,从而导致每个访问的用户都会执行
  • 非持久型XSS:对个体用户某url的参数进行攻击

3、 防御措施(对用户输入内容和服务端返回内容进行过滤和转译):

  • 现代大部分浏览器自带XSS筛选器,vue/react等成熟框架 也对XSS进行防护
  • 对用户输入内容和服务器返回内容进行过滤和转译
  • 重要内容加密传输
  • 合理使用get/post等请求方式
  • 对于URL携带参数谨慎使用

五、 CDN劫持

出于性能考虑,前端应用通常会把一些静态资源存放到CDN(Content Delivery Networks)上面,例如 js 脚本和 style 文件。

  • 这么做可以显著提高前端应用的访问速度
  • 却也隐含了一个新的安全风险。如果攻击者劫持了CDN,或者对CDN中的资源进行了污染,攻击者可以肆意篡改我们的前端页面,对用户实施攻击。
牛小小小婷~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe安全问题
yanner_的博客
08-05 8236
1.iframe 有些时候我们的前端页面需要用到第三方提供的页面组件,通常会以iframe的方式引入。典型的例子是使用iframe在页面上添加第三方提供的广告、天气预报、社交分享插件等等。 iframe在给我们的页面带来更多丰富的内容和能力的同时,也带来了不少的安全隐患。因为iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚...
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 2623
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
iframe跨框架脚本攻击,安全问题解决办法
一瓢西湖水的博客
06-02 994
跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站请求伪造攻击。个人理解就是其他网站会在他的iframe中调用我的网站内容,来截取他人的点击事件或者窃取他人敏感信息。
iframe安全策略
最新发布
qq_43258522的博客
09-26 330
限制iframe页面源地址白名单:通过设置iframe的src属性,指定白名单加载iframe页面,不在白名单的源地址可以不加载页面或者给出警告 设置iframe的sandbox属性:sandbox(沙箱)属性可以将iframe中的内容限制在一个安全的环境中,可以禁止脚本执行、禁止访问父页面、禁止向其他网站发送请求 CSP(Content Security Policy):CSP是一种安全策略,可以限制网页中资源的加载;可以防止XSS(跨站脚本攻击)安全漏洞
前端安全 - 信任的iframe也有隐患
loulanyijian的专栏
06-29 852
差不多是3、4年前的事情,不算是经典的前端安全问题,不过实际的界面效果就跟被攻击了一样,算是非常规的前端安全问题前同事,前端大佬F君,在群里跟我们分享一个问题,就是他们的门户网站,嵌入了合作方的广告iframe后,界面打开就直接滚动到这广告的位置了类似于上图,界面打开后,在无任何手动操作的情况下,直接滚动到了广告的位置肯定是这个广告iframe搞的鬼,F君分析他们的iframe源码,想具体找到他们是使用的什么代码去操作的这个,但苦于他们的源码内容比较多且压缩过,一时找不到是哪块代码的影响首先确定这个ifra
前端面试常见问题,大厂必备
03-08
文件中还包含了关于面试者所需要掌握的其他技能的题目,以及一些关于前端开发的常见问题的解答。也会涉及到前端框架,比如React、Vue等。此外,还会涉及到浏览器API、DOM操作、AJAX等。文件中还可能会包含关于Web...
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
网页前端常见的攻击方式和预防攻击的方法
09-28
探讨网站前端开发的安全问题.
打破iframe安全限制的3种方案
web修理工
12-28 9473
转载:http://www.ayqy.net/blog/%E6%89%93%E7%A0%B4iframe%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%843%E7%A7%8D%E6%96%B9%E6%A1%88/ 一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页
计算机网络 day14 DNS域名劫持、DNS域名污染 - CDN的工作流程 - DNS的记录类型 - 搭建DNS缓存/主域名服务器 - DNAT-SNAT实验项目
lpfstudy的博客
07-28 1889
CDN使用Anycast技术,将相同的IP地址分配给全球不同地区的服务器节点,用户请求将导向离用户最近的服务器,从而实现高效的内容交付。CDN提供商会在DNS解析层面进行优化,通过返回离用户最近的CDN节点的IP地址,将用户的请求导向最近的节点,从而实现就近访问。本地DNS服务器会将DNS解析请求发送给CDN加速DNS,并由CDN加速DNS返回离用户最近的CDN节点的IP地址,而不是源服务器的IP地址。CDN会在边缘节点上缓存动态内容的副本,并与源服务器进行实时同步,以确保用户获取最新的内容。
IFrame安全问题解决办法(跨框架脚本(XFS)漏洞)
包磊磊的博客
04-15 1518
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少跨框架脚本保护。跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用 此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨...
HTML5有效提升iFrame安全性 新增Sandbox属性
darkng2015的博客
02-25 436
HTML 5将针对iframe元素增加sandbox属性,可以防止不信任的Web页面执行某些操作。HTML 5规范的编辑Ian Hickson谈到了sandbox的好处,它可以防止如下操作: ◆访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了) ◆执行脚本 ◆通过脚本嵌入自己的表单或是操纵表单 ◆对coo...
禁止网站被别人通过iframe引用
热门推荐
dugujiancheng的专栏
06-14 1万+
解决方案一:js方法 这种方法不可靠,不推荐使用 if(self != top) { top.location = self.location; } 复制代码 把上面的JS代码片段放到你页面的 head 中即可。 解决方案二:Meta标签方法 复制代码 以上两种为前端处理方法,就我个人来说不推荐使用,不过这个也是因人而异的,没有绝对
Web前端安全之iframe
飞翔的熊blabla
08-06 455
阅读目录(Content) 防嵌套网页 resolve iframe跨域 回到顶部(go to top) 防嵌套网页 比如,最出名的clickhacking就是使用iframe来 拦截click事件。因为iframe享有着click的最优先权,当有人在伪造的主页中进行点击的话,如果点在iframe上,则会默认是在操作iframe的页面。 所以,钓鱼网站就是使用这个技术,通过诱导用户进行点击,比如,设计一个"妹妹寂寞了"等之类的网页,诱导用户点击,但实际结果,你看到的不是"妹妹",而是被恶意微博吸粉。
iframe 父子页面相互访问,iframe属性、安全问题
qq_29590623的博客
03-05 1261
iframe是html标签,具有一般标签的属性: width iframe的高度 height iframe的宽度 src iframe里面加载的页面url name 可以通过window.frames[name]获取到frame id 和其他的html标签id一样 在主页面中通过iframe标签可以引入其他子页面 其中可以通过以下方法获取到iframe内部子页面的信息 &amp;amp;amp;amp;lt;!--...
https页面中使用iframe出现安全警告的解决方法
燕窝
10-15 6589
问题的出现通常是iframe中的src属性缺失引起的,解决方法如下:1.创建一个只含有的空白htm页面,把iframe的src属性赋值为该空白页面。elmIfr = document.createElement("IFRAME"); elmIfr.scr="blank.html";document.body.appendChild(elmIfr); 2.src = "javascript
前端有哪些安全问题,怎么防范
05-20
前端常见安全问题包括: 1. XSS攻击(跨站脚本攻击):攻击者通过注入恶意脚本代码,使用户在浏览网页时执行该脚本,从而获取用户的敏感信息。 2. CSRF攻击(跨站请求伪造):攻击者通过伪造请求,冒充用户身份进行恶意操作,如篡改用户信息、注销用户等。 3. Clickjacking攻击(界面劫持攻击):攻击者通过伪装网页界面,欺骗用户点击操作,实现非法目的。 4. DOS/DDOS攻击:攻击者通过向目标网站发送大量请求,使其无法正常响应用户请求,造成服务不可用。 为了防范这些安全问题,我们可以采取以下措施: 1. 输入检查和过滤:对于用户输入的数据进行检查和过滤,避免恶意脚本注入。 2. 合理使用Cookie和Session:对于Cookie和Session中存储的敏感信息,应进行加密处理,避免被窃取。 3. 防范CSRF攻击:在请求中添加Token验证机制,确保请求是合法用户发起的。 4. 防范Clickjacking攻击:使用X-Frame-Options头部控制网页是否可以被其他网站嵌入。 5. 防范DOS/DDOS攻击:使用CDN和负载均衡,增加服务器的抗压能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值