Web前端安全

最新推荐文章于 2022-10-20 15:38:42 发布
最新推荐文章于 2022-10-20 15:38:42 发布
阅读量126 收藏
点赞数
分类专栏: web前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiu_miaomiao/article/details/91388702
版权

XSS - 跨站脚本攻击

概念:用户填写信息是可运行的js代码。操作用户界面。【窃取用户信息、登录态】

攻击源头: 反射型 - 从URL读取内容展示/分享

                   存储型 - 从后台读取内容展示

防范手段: 富文本【onerror语句<标签>】 - 白名单过滤(合法标签)  ——开源xss_Filter 过滤js库

                   纯文本【html直接展示的内容】 - html encode, js encode ——转义“”、‘’、<、>等

CSRF - 跨站伪造请求

概念:利用你所在网站的登录信息,悄悄提交各种信息(post、get请求)

防范手段: 提交method = POST  判断referer。cookie

                   Token (特殊登录状态)

                   - 服务端生成,带到前端

                   - 前端提交的时候带上

                   - 服务器端再校验

SSRF - 服务器伪造请求

概念 :利用某些业务服务端会发出请求,请求内网地址

防范手段: 域名限制 - 不允许提交内网域名

                   内网IP限制 - 不允许提交内网IP

                   内网请求地址做token(特殊登陆状态) - 信任请求

hi jack - 页面劫持

概念:页面劫持 - iframe嵌套某个页面,骗取用户输入信息

防范手段:页面劫持:Window.parent判断

                   JSON劫持:返回{},而不是返回的数据

其他

1、回调URL

     redirect-url——授权通过后的需要重定向的url,被篡改了

2、Jsonp & cors(跨域头) 安全校验 

(多网站跨域请求安全问题 ——referer校验,根据referer白名单校验  或者 Token【特殊登录状态】核对身份)

     

努力努力再努力-喵~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何解决Web前端安全问题?
m0_72622669的博客
11-17 1698
介绍了Web前端安全问题产生原因,然后给出了对应的解决策略,从而降低和避免网站被攻击的可能性,另外可以看到Web安全是一个很大的课题,Web前端安全仅是其中的一个最前端和常见的领域,也可以看到要开发一个安全性非常高的Web安全网站是多么困难,但随着技术的发展,特别是量子计算机通信的出现,未来必然会出现超越现在已知的安全技术。
前端常见安全性问题
m0_44973790的博客
04-22 7450
文章目录 一、常见的安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
前端安全面试题
weixin_51140082的博客
03-19 6776
什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可以获取用户的敏感信息,如Cookie,SessionID等,进而危害数据安全。为了和CSS区分,这里把代码的第一个字母改为X,于是叫做XSS ...
Web 前端安全问题 - XSS、CSRF、界面操作劫持
lhz_333的博客
03-19 3679
XSS、CSRF、界面操作劫持
Web前端技术简介
weixin_72636693的博客
07-11 1408
Web前端即指⼤家平常上⽹浏览的⽹页,如上⽹浏览新闻、查询快递信息。淘宝购物等都是在浏览⽹页。但⽹页制作还需要了解与⽹页相关的基本概念,下⾯将对Web前端的相关概念进⾏详细讲解。 互联⽹中的⽹页多数都是使⽤HTML格式展⽰到浏览者⾯前,因此,HTML是⽬前最流⾏的⽹页制作语⾔。为了使⽹页具有更好的拓展性和⽤户体验,CSS样式表在⽹页设计中有着重要的地位。在学习HTML和CSS之前,需要了解⼀些基本的互联⽹相关知识。 1.1.1初识Web前端 1991年8⽉6⽇,来⾃欧洲核⼦研究中⼼的科学家Tim Be
前端常见的安全问题
laihongfeng的博客
03-07 7672
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
Web前端安全系列之:XSS攻防及Vue防御(万字长文)
绝对零度的博客
10-20 9476
Web 攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSS、CSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。
web前端发展历程
热门推荐
官方推荐
05-30 3万+
前言 目前在IT公司中前端的岗位越来越成为不可或缺的,前端的地位也愈见明显,很多学校已经体系的传授前端课程,众多培训机构也将前端知识作为了主流课程,也有越来越多的同学加入到前端学习的行列中,作为前端工程师或者前端的学习者我们有必要去了解前端的发展史。...
Web前端安全策略之XSS的攻击与防御
零一的博客
05-29 4563
随着技术的发展,前端早已不是只做页面的展示了, 同时还需要做安全方面的处理,毕竟网站上很多数据会涉及到用户的隐私。 若是没有些安全策略, 很容易被别人通过某些操作,获取到一些用户隐私信息,那么用户数据隐私就无法得到保障。 对于前端方面的安全策略你又知道多少呢?接下来我们来介绍一下~
浅谈web前端安全
全栈空间
11-30 8132
单纯地在你的客户端弹出信息只是类似于迫使你在自己的房间脱衣服——没人看得到,自然也不算啥恶意行为。那么如果我把你的信息通过脚本发送到我的服务器保存起来呢?先放心,我不打算这么做,也没那笔闲钱去购置一个服务器来做羞羞的事情,也不希望把我这地盘给封掉了。 如同标题所写的,今天要聊的是WEB安全机制,但这“前端”二字倒是说的狭义了些,安全的问题大部分还是更依赖于后端的过滤和拦截措施,后端的朋友如果
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
Web前端安全同样不可忽视
01-30
随着网络的快速普及,网络安全问题的受害者不再只是政府、企业等集体,每一个接触网络的普通人都有可能成为网络攻击的受害者。随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂。以网站的攻击为例,据...
Web前端安全问题及对策.pdf
01-02
"Web前端安全问题及对策" Web前端安全问题是指在Web前端中存在的安全隐患,包括跨站点脚本攻击、跨站请求伪造、界面操作劫持等问题,这些问题可能会导致用户敏感数据的丢失、财产损失、网站崩溃等严重后果。因此,...
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全。以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
07-13
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
Java语言基础入门教程 Java开发编程基础课程 第6章 字符串 共30页.pptx
07-13
【课程大纲】 第1、2、3章 Java简介 共15页.pptx 第4章 流程控制 共14页.pptx 第5章 数组 共8页.pptx 第6章 字符串 共30页.pptx 第7章 定义类 共10页.pptx 第8章 内部类和异常处理 共18页.pptx 第8章 生成对象 共18页.pptx 第9章 类的高级特性 共12页.pptx 第9章 深度了解变量和方法 共13页.pptx 第10章 理解包 共18页.pptx 第11章 继承、多态和接口 共21页.pptx 第12章 内部类和异常处理 共18页.pptx 第13章 图形用户界面 共31页.pptx 第14章 线程 共22页.pptx
大学生创业计划书(26)三篇文件.docx
07-14
大学生创业计划书(26)三篇文件.docx
mipi-UniPro-specification-v2-0 pdf
最新发布
07-14
mipi_UniPro_specification_v2-0 协议
WEB前端安全之同源策略.pdf
07-02
"WEB前端安全之同源策略.pdf" 在网络安全领域,同源策略(Same-Origin Policy,SOP)是Web浏览器中的一个关键安全机制,它限制了来自不同源的脚本之间相互访问和操作资源的能力,以此来保护用户的数据安全。同源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值