谈谈前端安全规范

最新推荐文章于 2024-02-07 22:41:57 发布
最新推荐文章于 2024-02-07 22:41:57 发布
阅读量251 收藏 1
点赞数
分类专栏: 前端框架 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_2245/article/details/82335461
版权

最近研究了css规范,下一步就是简单分析一下前端安全相关的知识。

 

以下内容整理之淘宝UED相关资料

 

 

1、XSS Cross Site Script跨站攻击脚本

 

方式主要有:    

 

  •  在Web页面插入恶意的html代码
  •  用户浏览网页,嵌入在页面里面的代码会被执行

 

种类主要有:

 

  • 基于DOM的XSS
       产生的原因:
             
              i、页面含有一些不受服务器端控制的DOM
              ii、通过form、referer、location修改页面的DOM


       解决的方法:

             避免客户端脚本对DOM的重写、重定向及其它的敏感操作,需要在客户端对form输入进行过滤


     
  • 基于字符集的XSS
     产生的原因:

           页面字符集不固定,用户输入非期望字符集的字符,逃过了过滤。

     解决的方法:

           i、页面一定要指定字符集
           ii、XML不仅要指定字符集,而且要标签闭合

  • 持久性XSS
     产生的原因:

         破坏html结构,来源是数据库导致。

     解决的方法:

          对输入进行过滤
          对输出进行编码,如<>等这些进行编码的转换


  • 非持久性XSS
     产生的原因:
          
           直接将fomr或者搜索域中的字符扔到页面,比如搜索域输入带<script>的执行脚本,在展示搜索结果的时候会执行输入的脚本

     解决的方法:

          对输入进行过滤
          对输出进行编码,如<>等这些进行编码的转换


  • 基于Flash的跨站
     产生的原因:

          AS脚本接受用户输入并操作cookie,攻击者配合其他XSS方法将恶意swf文件嵌入页面

     解决的方法:

         i、管理好cookie的读写权限
         ii、对flash接受用户输入进行过滤和限定


  • Self-inflicted XSS
      产生的原因:

          某些用户作为攻击者,对其他用户进行攻击,最常见的可能就是分享了。

      解决的方法:
         
          对于自己不信任的尽量不要点击。


  • 未经验证的跳转构成的跨站
        产生的原因:

          服务端做302调整,攻击者利用这跳转到恶意的网站。
    
       解决的方法:

          后端限定接收的URL


  • Cookie的跨站

       产生的原因:


          脚本操作cookie,比如进行搜索提交等。
    
       解决的方法:

          后端对cookie进行验证

 

 

2、CSRF(伪造请求)

 

   场景

 

     表单提交相关,比如登录、注册

     Ajax请求数据相关的

 

   防范:

 

     验证码、时间戳

     在表单中加入token,提交方式尽量POST

     AJAX附带token

 

 

  可被利用的脚本:

            i、URL相关的

               document.location = ...
               document.location.hostname = ...
               document.location.replace(...)
               document.referer
               document.URL = ...
               window.location

           ii、直接运行的脚本

               eval(....)
               window.setInterval(...)
               window.setTimeout(...)
               window.execScript(...)
iteye_2245
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开发安全规范
jk54546的博客
07-05 1181
前端开发安全规范 一、敏感信息加密 描述: 对用户提交的参数进行截获 web端本地的数据存储,如H5d localStroage、sessionStroage 预防方案 对用户登录的密码进行加密后传输 将http升级为https 本地存储只能用于非关键信息的存储,比较重要的用户信息在存储时 按照base64进行编码后存储,避免在浏览器客户端直接看到明文信息。 对于关键重要信息,禁止采用客户端本地存储技术进行存储。 二、系统提示信息 描述 攻击者根据返回的提示信息会猜测到系统中存在的登陆用户名,然会
前端必知的安全防范知识
weixin_40643543的博客
05-09 722
总的来说安全是很复杂的一个领域,不可能通过一篇就能学习完这部分的内容。在这篇文章中,我们会学习到常见的一些安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。 XSS XSS (Cross Site Scripting)简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面
前端安全编码规范
前端开发博客
11-20 876
关注公众号前端开发博客,回复“加群”加入我们一起学习,天天进步来源:待你如初https://segmentfault.com/a/1190000037657222前言随着互联网高速的...
前端代码规范
Zmikoo学习之路
06-24 202
代码千万行,安全第一行;前端规范,同事两行泪。 一、命名规范 (一) 项目命名 全部采用小写的方式 以中划线分割 正确命名:mall-management-system (商城管理系统) 错误命名:mall-management-system 或 mallManagementSystem (二) 目录命名 全部采用小写的方式 以中划线命名 复数时,要采用复数结构 正确命名:sctipts / styles / utils / demo-scripts (三) JS、CSS、SCSS、HTML、PNG等文件
< 知识拓展:前端代码规范
一个平平无奇的技术宅
04-26 7507
前端开发在日新月异的发展下,各式各样开箱即用的工具组件的出现,给开发人员带来便捷与高效,也给开发人员带来挑战与思考。 在开发过程中,一千个人之中有一千个哈姆雷特,也出现了一千份截然不同的代码,也就是人们常说的 `“ 千人千面 ”`。使得代码后期的`管理` 以及 `维护`带来困难。在此基础下,不同的团队在自身的环境下具体问题具体分析后制定出自己的一套`规范`,由此,展开了规范化在于项目过程中的重要性讨论。
WEB前端安全编码规范评审
weixin_40969472的博客
01-30 2054
1. 防范XSS漏洞 1.1 漏洞描述 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 1.2 安全风险 获取用户cookie、钓鱼、获取用户页面数据、蠕虫、挂马。 2. 防范SQL注入漏洞
尚硅谷_前端_面试题
08-01
### 尚硅谷_前端_面试题 #### 一、HTML+CSS 1. **Doctype作用?标准模式与兼容模式各有什么区别?** - **Doctype**:文档类型声明,用于告诉浏览器文档使用哪种HTML或XHTML规范。正确地使用DOCTYPE很重要,因为它...
毕业设计论文-源码-网络在线考试系统(设计源码).zip
05-17
首先,我们来谈谈前端开发。前端是用户与系统交互的界面,通常采用HTML、CSS和JavaScript等技术实现。在这个系统中,前端设计应该注重用户体验,确保界面清晰、操作简便。HTML用于构建页面结构,CSS则负责样式布局,...
swagger3.0,带jwt的token以及前后端双端访问swagger的配置
03-29
接下来,我们谈谈如何在 Swagger3.0 中配置 JWT token: 1. 添加依赖:在 Java 项目中,你需要添加 Swagger3.0 和相关 JWT 库的依赖,如 Springfox 或 OpenAPI Generator。 2. 定义 Security Scheme:在 Swagger ...
Web前端:11个让你代码整洁的原则(1)
07-17
Web前端:11个让你代码整洁的原则(1)
The-Crypto-Cube
05-10
Web应用程序的架构方面,这个项目可能采用了模块化开发,利用ES6的import/export语法或者CommonJS规范,使得代码更易读、可维护。另外,考虑到跨域请求问题,可能使用了JSONP或者CORS策略来实现前后端的数据通信。...
代码安全规范
就叫一片白纸的博客
08-15 4717
基本要求 使用基本的 web 安全防范策略(XSS、CSRF、统一登录等) Debug 信息禁止对外暴露(测试、正式环境禁止开启 debug 模式,建议规范错误日志,查看日志定位问题) 访问限制( IP 或 QQ 白名单)(统一使用蓝鲸开发者中心提供的权限管理功能) 越权操作防范和自检(用户、业务、操作权限等关联鉴权)(参考越权案例) 权限回收(应用统一回收通知模块,定时通知业务测负责人对外部...
前端规范 - 前端广义安全规范
loulanyijian的专栏
12-01 1220
不仅仅局限为前端老生常谈的xss、csrf等典型性前端安全问题 更多的,是前端面临的整体的一些合规、风控、信息泄露等一系列问题
年终前端安全防护规范总结
qq_53058639的博客
12-30 859
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
前端 JavaScript 焦點事件處理
weixin_46803507的博客
03-26 1277
前端 JavaScript 焦點事件處理何謂聚焦?focus/blur 事件focus/blur 方法允許在任何元素上聚焦 : tabindex 何謂聚焦? 所謂聚焦(focus)通常是在說聚焦到一個元素上,而聚焦到一個元素上通常意味著 “準備要此處接受輸入”,所以,這正是我們可以用代碼來初始化一些我們所需的功能的時刻。 失去焦點(blur)可能還更重要一些,這個事件可能發生在當用戶點擊頁面其他地方,或是跑去做別的事情等等。所以失去焦點通常意味著 “數據輸入都已經完成了”,所以我們就可以用代碼來檢查這些輸入
前端代码评审规范
最新发布
SaRAku的博客
02-07 1924
项目中的z-index书写不能太随心所欲,本文规范中以使用的公共组件antd中规定弹窗的z-index:1002为准,如果当前组件层级需要高于页面中的弹窗展示,则可以取大于1002的值,否则,应取值小于1002。大部分情况下我们更关注JS代码中的注释,但是CSS文件中也存在一些需要书写注释的地方,比如公用样式、复杂的CSS组合,LESS函数样式等,CSS中书写注释有利于划分CSS的层级组合、样式嵌套、维护复用等。并非所有的CSS选择器都会影响性能,关键是关注 右侧 关键选择器匹配范围广泛的CSS选择器。
谈谈你对前端开发规范的理解
04-19
作为一个AI语言模型,我的任务是在提供准确有效的回答的同时,确保遵守相关的道德和法律规范。关于前端开发规范,我的理解是指为了保证团队协作效率和产品质量,在前端开发过程中制定的一些约定和规范,包括代码编写、命名规范、注释规范、目录结构等方面。这些规范可以提高代码可读性和可维护性,并且有助于减少开发过程中的错误和不必要的工作量。不过具体的前端开发规范应该视项目而定,需要根据团队的实际需要和开发场景来进行具体规定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值