XSS - 跨站脚本攻击
概念:用户填写信息是可运行的js代码。操作用户界面。【窃取用户信息、登录态】
攻击源头: 反射型 - 从URL读取内容展示/分享
存储型 - 从后台读取内容展示
防范手段: 富文本【onerror语句<标签>】 - 白名单过滤(合法标签) ——开源xss_Filter 过滤js库
纯文本【html直接展示的内容】 - html encode, js encode ——转义“”、‘’、<、>等
CSRF - 跨站伪造请求
概念:利用你所在网站的登录信息,悄悄提交各种信息(post、get请求)
防范手段: 提交method = POST 判断referer。cookie
Token (特殊登录状态)
- 服务端生成,带到前端
- 前端提交的时候带上
- 服务器端再校验
SSRF - 服务器伪造请求
概念 :利用某些业务服务端会发出请求,请求内网地址
防范手段: 域名限制 - 不允许提交内网域名
内网IP限制 - 不允许提交内网IP
内网请求地址做token(特殊登陆状态) - 信任请求
hi jack - 页面劫持
概念:页面劫持 - iframe嵌套某个页面,骗取用户输入信息
防范手段:页面劫持:Window.parent判断
JSON劫持:返回{},而不是返回的数据
其他
1、回调URL
redirect-url——授权通过后的需要重定向的url,被篡改了
2、Jsonp & cors(跨域头) 安全校验
(多网站跨域请求安全问题 ——referer校验,根据referer白名单校验 或者 Token【特殊登录状态】核对身份)