前端常见安全问题

最新推荐文章于 2024-02-22 20:04:30 发布
最新推荐文章于 2024-02-22 20:04:30 发布
阅读量380 收藏
点赞数 1
文章标签: 前端 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hannah2233/article/details/125689488
版权
  • iframe
  • opener
  • CSRF(跨站请求伪造)
  • XSS(跨站脚本攻击)
  • CND劫持

文章目录

一、 iframe

1、 如何让自己的网站不被其他网站的iframe引用?

// 检测当前网站是否被第三方iframe引用
// 若相等则证明没有被引用
if(top.location != self.location) {
	top.location.href = 'http://www.baidu.com'
}

2、如何禁用“被使用的iframe对当前网站”某些操作

  • sandbox是h5的新属性,主要提高iframe安全系数
  • 现在有一场景:我的网站需要 iframe 引用某网站,但是不想被该网站操作DOM、不想加载某些js(广告、弹框等)、当前窗口被强行跳转链接,可以设置sandbox属性

二、 opener

2-1 问题

在项目中需要打开新标签进行跳转方式

// 1) HTML -> <a target='_blank' href='http://www.baidu.com'>
// 2)  JS  -> window.open('http://www.baidu.com')

1、 看起来没有问题,但是存在漏洞

  • 通过这两种方式打开的页面可以使用window.opener来访问同源页面的window对象

2、 场景:A 页面通过<a>或 window.open 方式,打开 B 页面。但是 B 页面存在恶意代码如下:

  • window.opener.location.replace('https://www.baidu.com') 【此代码仅针对打开新标签有效】
  • 此时,用户正在浏览新标签页,但是原来网站的标签页已经被导航到了百度页面。
  • 恶意网站可以伪造一个足以欺骗用户的页面,使得进行恶意破坏。
  • 即使在跨域状态下 opener 仍可以调用 location.replace 方法。
2-2 解决

1、 <a>

<a target = "_black" href="" rel="noopener noreferrer nofollow">a标签跳转url</a>
<!-- 
  通过 rel 属性进行控制:
  noopener:会将 window.opener 置空,从而源标签页不会进行跳转(存在浏览器兼容问题)
  noreferrer:兼容老浏览器/火狐。禁用HTTP头部Referer属性(后端方式)。
  nofollow:SEO权重优化,详情见 https://blog.csdn.net/qq_33981438/article/details/80909881
 -->

2、 b.window.open()

<button onclick="openurl("http://www.baidu.com")">click跳转</button>

function openurl(url) {
	var newTab = window.open();
	newTab.opener = null;
	newTab.location = url;
}

三、 CSRF/XSRF(跨站请求伪造)

CSRF攻击: 攻击者调用你的身份,以你的名义进行恶意请求。能做的事情:

  • 以你的名义发送邮件、发信息、盗用账号、购买商品、虚拟货币转账等
  • 个人隐私及财产安全问题

1、 CSRF攻击思想:

  • 浏览并登录信任网站
  • 登陆成功在浏览器产生cookie存储
  • 此时访问危险网站,网站存在恶意代码,代码发送一个恶意请求
  • 携带在浏览器产生的额信息进行恶意请求
  • 网站请求为合法请求(无法区分是否为该用户发送)

2、 防御措施(添加token/HTTP头自定义属性):

  • 涉及到数据修改造作严格使用post请求而不是get请求
  • HTTP协议中使用Referer属性来确定请求来源进行过滤(禁止外域)
  • 请求地址添加token,使黑客无法伪造用户请求
  • HTTP头自定义属性验证
  • 显示验证方式: 添加验证码、密码等

四、XSS/CSS(跨站脚本攻击Cross Site Script)

攻击者在目标网站植入恶意脚本(js/html),用户在浏览器上运行时可以获取用户敏感信息(cookie/session)、修改web页面来欺骗用户

1、 浏览器遇到html中的script标签时,会解析并执行其中的js代码
2、 XSS类型:

  • 持久型XSS: 将脚本植入到服务器上,从而导致每个访问的用户都会执行
  • 非持久型XSS:对个体用户某url的参数进行攻击

3、 防御措施(对用户输入内容和服务端返回内容进行过滤和转译):

  • 现代大部分浏览器自带XSS筛选器,vue/react等成熟框架 也对XSS进行防护
  • 对用户输入内容和服务器返回内容进行过滤和转译
  • 重要内容加密传输
  • 合理使用get/post等请求方式
  • 对于URL携带参数谨慎使用

五、 CDN劫持

出于性能考虑,前端应用通常会把一些静态资源存放到CDN(Content Delivery Networks)上面,例如 js 脚本和 style 文件。

  • 这么做可以显著提高前端应用的访问速度
  • 却也隐含了一个新的安全风险。如果攻击者劫持了CDN,或者对CDN中的资源进行了污染,攻击者可以肆意篡改我们的前端页面,对用户实施攻击。
牛小小小婷~
关注
前端常见安全问题有哪些?
孙叫兽的博客
07-29 1558
安全前端安全问题有哪些? XSS 跨站请求攻击 XSRF 跨站请求伪造 上边这两个问题前端也只是辅助,主要还是靠后端 XSS原理 在博客里可以写文章,同时偷偷插入一段<script>代码。 发布博客,有人查看博客内容 打开博客时,就会执行插入的js攻击代码 在攻击代码中,获取cookie(其中可能包含敏感信息),发送到攻击者的服务器,攻击者就得到了博客阅读者的信息。 XSS预防 前端替换关键字,如<替换为< 但前端替换影响性能,一般都后端替换 XS
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 2975
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
web前端安全性——iframe安全问题
最新发布
qq_53911056的博客
02-22 900
iframe安全问题可称作界面劫持,像点击劫持、拖放劫持、触屏劫持。就是我们的点击,拖放,触屏操作被劫持了,而去操作了其它的透明隐藏的界面。原理是利用透明层iframe,使用了CSS中的opacity或z-index等属性,来到达透明和位于其它界面的上方,然后使用iframe来嵌入劫持页面。
iframe安全策略
鱼遇海
09-26 544
限制iframe页面源地址白名单:通过设置iframe的src属性,指定白名单加载iframe页面,不在白名单的源地址可以不加载页面或者给出警告 设置iframe的sandbox属性:sandbox(沙箱)属性可以将iframe中的内容限制在一个安全的环境中,可以禁止脚本执行、禁止访问父页面、禁止向其他网站发送请求 CSP(Content Security Policy):CSP是一种安全策略,可以限制网页中资源的加载;可以防止XSS(跨站脚本攻击)安全漏洞
前端安全 - 信任的iframe也有隐患
loulanyijian的专栏
06-29 895
差不多是3、4年前的事情,不算是经典的前端安全问题,不过实际的界面效果就跟被攻击了一样,算是非常规的前端安全问题前同事,前端大佬F君,在群里跟我们分享一个问题,就是他们的门户网站,嵌入了合作方的广告iframe后,界面打开就直接滚动到这广告的位置了类似于上图,界面打开后,在无任何手动操作的情况下,直接滚动到了广告的位置肯定是这个广告iframe搞的鬼,F君分析他们的iframe源码,想具体找到他们是使用的什么代码去操作的这个,但苦于他们的源码内容比较多且压缩过,一时找不到是哪块代码的影响首先确定这个ifra
打破iframe安全限制的3种方案
web修理工
12-28 1万+
转载:http://www.ayqy.net/blog/%E6%89%93%E7%A0%B4iframe%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%843%E7%A7%8D%E6%96%B9%E6%A1%88/ 一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页
前端常见安全问题
m0_44973790的博客
04-22 7919
文章目录 一、常见安全问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、H
前端面试常见问题,大厂必备
03-08
文件中还包含了关于面试者所需要掌握的其他技能的题目,以及一些关于前端开发的常见问题的解答。也会涉及到前端框架,比如React、Vue等。此外,还会涉及到浏览器API、DOM操作、AJAX等。文件中还可能会包含关于Web...
前端常见问题整理.压缩包
07-23
这个名为"前端常见问题整理"的压缩包文件包含了关于HTML、HTTP、Web综合问题、CSS、JavaScript、jQuery、编程题以及一些其他主题的详细解答,旨在帮助开发者解决实际工作中的疑难点。下面我们将逐一深入探讨这些知识...
网页前端常见的攻击方式和预防攻击的方法
09-28
网页前端常见的攻击方式和预防攻击的方法 网页前端开发中的安全问题是一个至关重要的主题,因为大多数人认为前端代码运行在客户端浏览器中,不会对服务器端的安全造成威胁。然而,随着前端技术的发展,安全问题已经...
计算机网络 day14 DNS域名劫持、DNS域名污染 - CDN的工作流程 - DNS的记录类型 - 搭建DNS缓存/主域名服务器 - DNAT-SNAT实验项目
lpfstudy的博客
07-28 2461
CDN使用Anycast技术,将相同的IP地址分配给全球不同地区的服务器节点,用户请求将导向离用户最近的服务器,从而实现高效的内容交付。CDN提供商会在DNS解析层面进行优化,通过返回离用户最近的CDN节点的IP地址,将用户的请求导向最近的节点,从而实现就近访问。本地DNS服务器会将DNS解析请求发送给CDN加速DNS,并由CDN加速DNS返回离用户最近的CDN节点的IP地址,而不是源服务器的IP地址。CDN会在边缘节点上缓存动态内容的副本,并与源服务器进行实时同步,以确保用户获取最新的内容。
IFrame安全问题解决办法(跨框架脚本(XFS)漏洞)
包磊磊的博客
04-15 1658
最近项目要交付了,对方安全测试的时候检测出高危险漏洞,由于刚参加工作不久,经验不足,未涉及过此方面的东西。经过一番查询和探索,最终解决了这个问题,记录一下。 发现的漏洞为缺少跨框架脚本保护。跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用 此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨...
前端面试常见安全问题(面试必备)
ikkkp的博客
09-20 417
前端常见安全问题(面试必备)
HTML5有效提升iFrame安全性 新增Sandbox属性
darkng2015的博客
02-25 466
HTML 5将针对iframe元素增加sandbox属性,可以防止不信任的Web页面执行某些操作。HTML 5规范的编辑Ian Hickson谈到了sandbox的好处,它可以防止如下操作: ◆访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了) ◆执行脚本 ◆通过脚本嵌入自己的表单或是操纵表单 ◆对coo...
iframe安全威胁
nzf_001的专栏nzf_001的专栏nzf_001的专栏nzf_001的专栏nzf_001的专栏
06-06 947
Web应用程序的安全始终是一个重要的议题,因为网站是恶意攻击者的第一目标。黑客利用网站来传播他们的恶意软件、蠕虫、垃圾邮件及其它等等。OWASP概括了Web应用程序中最具危险的安全漏洞,但是仍在不断积极的发现可能出现的新的弱点以及新的web攻击手段。 黑客总是在不断寻找新的方法欺骗用户,因此从渗透测试的角度来看,一个网络管理员需要照看到每一个可能被利用来入侵的漏洞和弱点。现在有许多自动化工具和
Blocked form submission to ‘‘ because the form‘s frame is sandboxed and the ‘allow-forms‘ permission
weixin_44002939的博客
03-17 2258
Blocked form submission to ‘’ because the form’s frame is sandboxed and the ‘allow-forms’ permission is not set. 表单中有两个按钮,一个提交按钮,一个是查询按钮,点击查询按钮就报错 原因出现在这: <button class="layui-btn layui-btn-sm layui-btn-danger" onclick="search()"><i class="layu
解决网站防挂IFRAME木马方案
kongwei521的专栏
06-26 2256
  IFRAME木马解决方案今天一上服务器2000多个 被注入,我晕!检查了半天,原来是FckEditor编辑器上传漏洞导致。在找资料的同时,发现CSS有一个有趣的属性expression,发现这个东东还有点意思,由此写出来,“以儆效尤”!  引用:“IE5 及其以后版本支持在CSS中使用expression,用来把CSS属性和JavaScript脚本关联起来,这里的CSS属性可以是元素固
web安全策略之iframe-sandbox
热门推荐
rth362147773的博客
02-18 1万+
前言sandbox是html5的新属性,主要是提高iframe安全系数。iFrames因安全问题而臭名昭著,这主要是因为iFrames常常被用于嵌入第三方内容,而后者则可能会执行某些恶意操作。这样可以有效防止iframe对父页面进行攻击(禁用插件,禁止其他浏览上下文的导航,禁止弹出窗口和模式对话框)。sandbox通过限制被嵌入内容所允许的操作而提升iFrames的安全性。这种方式将sandbox内
防止页面被iframe恶意嵌套
weixin_34242509的博客
03-09 746
新blog地址:http://hengyunabc.github.io/prevent-iframe-stealing/ 缘起 在看资料时,看到这样的防止iframe嵌套的代码: try { if (window.top != window.self) { var ref = document.ref...
前端房屋安全项目测试概述
2. 常见前端安全测试方法 前端安全测试主要包括代码审查、自动化扫描和渗透测试等方法。代码审查是通过人工检查源代码来发现安全漏洞的过程;自动化扫描则是利用工具对网站进行自动化的漏洞检测;渗透测试模拟攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值