前端常见安全防范

最新推荐文章于 2024-05-14 01:57:44 发布
最新推荐文章于 2024-05-14 01:57:44 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: 前端 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40178497/article/details/123324717
版权

1、XSS(跨站脚本攻击):攻击者想尽一切办法将可以执行的代码注入到网页中

  • 总体上分为两类:持久型和非持久型,持久型写入数据库,所有打开页面的用户都会被攻击到,非持久型一般通过URL参数的方式加入攻击代码

  • 防范:

    • 1、转义字符

      function escape(str){
  str = str.replace(/&/g, '&')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2f;')
  return str
}

      对于富文本,通常采用白名单过滤的办法

    • 2、 CSP

      本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行

      • 两种开启方式

        1、设置HTTP Header中的Content-Security-Policy

        2、设置meta标签的方式<meta http-equiv="Content-Security-Policy">

        Content-Security-Policy: default-src: 'self'  // 只允许加载本站资源
Content-Security-Policy: img-src https://*  // 只允许加载HTTPS协议图片资源
Content-Security-Policy: child-src 'none   // 允许加载任何来源框架

  • 2、CSRF(跨站请求伪造):攻击者构造出一个后端请求地址,诱导用户点击或通过某些途径自动发起请求,如果用户处于登录状态,后端就以为是用户在操作,从而进行相应的逻辑

    • 攻击过程:
      • 1、用户浏览并登录信任网站A
      • 2、验证通过,在用户处产生A的Cookie
      • 3、用户在没有登出A网站的情况下访问危险网站B
      • 4、B要求访问第三方网站A,发出一个请求
      • 5、根据B的请求,浏览器带着用户在A生成的Cookie访问A
      • 6、A不知道请求是用户发出的还是B网站发出的,由于浏览器会自动带上用户的Cookie,所以A会根据用户的权限处理请求,从而使得B达到了模拟用户操作的目的
    • 防范:
      • get请求不对数据进行修改
      • 不让第三方网站访问到用户Cookie
      • 阻止第三方网站请求接口
      • 请求时附带验证信息,比如验证码或者Token
    • SameSite
      • 对Cookie设置SameSite属性,表示Cookie不随着跨域请求发送,可以很大程度上减少CSRF攻击,但不兼容所有的浏览器
    • 验证Referer
      • 通过Referer判断该请求是否是第三方网站发起的
    • Token
      • 服务器下发随机Token,每次发起请求时将Token携带上,服务器验证Token是否有效

  • 3、点击劫持:是一种视觉欺骗的攻击手段,攻击者将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中,并将iframe设置为透明,在页面中透出按钮诱导用户点击

    • 防范:
      • 1、X-FRAME-OPTIONS:是HTTP响应头,三个值可选
        • DENY:表示页面不允许iframe的方式展示
        • SAMEORIGIN:可以在相同域名下通过iframe展示
        • ALLOW-FROM:指定来源的iframe中展示
      • JS 防御:当页面通过iframe方式加载页面时,攻击者的网页直接不显示所有内容
qq_40178497
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360 几率大的网络安全面试题(含答案)
10-14
防范常见的 Web 攻击是网络安全的重要方面。常见的 Web 攻击包括 SQL 注入攻击、XSS 攻击、CSRF 攻击等。 * SQL 注入攻击:攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意 ...
web安全概览.pptx
06-30
本课件是组会作为分享使用,亦可作为团队前端安全培训入门使用,全课件主要讲解了sql注入,xss,csrf,点击劫持等常见的web攻击手段,及其一些防范措施,对于初入web安全的领域的新手十分有帮助。
浅谈前端安全
weixin_43675915的博客
06-10 6398
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端安全问题及解决方案
似水流年QC的博客
06-29 1280
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
最新【安全策略】前端 JS 安全对抗&amp;浏览器调试方法(1),【2024网络安全最新学习路线
最新发布
2401_84300859的博客
05-14 697
压缩是指去除JavaScript代码中不必要的空格、换行等内容,使源码变得更加紧凑,从而降低代码的可读性,并且可以提高网站的加载速度。一般而言,压缩JavaScript代码可以采用去除空格、换行和注释等方式来减小代码的体积。通过这种方式,源码可以被压缩成几行内容,从而减少了加载时需要下载和解析的数据量,加快了网页的加载速度。然而,仅仅进行空格、换行的压缩对于防护作用很小。这种压缩方式只是降低了代码的直接可读性,使用IDE、在线工具或Chrome等工具,可以很容易地将代码还原成易读的形式。
年终前端安全防护规范总结
qq_53058639的博客
12-30 831
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
前端常见安全问题以及解决方案汇总
zhong_333的博客
01-24 1424
在处理前端安全问题时,我们意识到安全性是一个不断演进的过程。通过采取一系列措施,如设置安全头部、使用 HTTPS 加密传输、及时更新第三方依赖并引入安全监控,我们可以有效地降低潜在的安全风险。此外,数据脱敏和定期审查安全措施也对保障前端应用程序的安全性至关重要。综上所述,领会并实践这些前端安全原则,将有助于确保用户数据和系统安全,为用户提供更可靠的在线体验。
前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
02-23 1754
随着互联网的发展,Web应用程序越来越普及,但是Web安全问题也随之增加。前端开发者作为Web应用程序的构建者之一,需要了解和掌握Web安全的基本知识和解决方案。本文将介绍前端开发者必须知道的Web安全问题和防范措施。
网络安全调研报告.docx
12-24
相对的,必须加强安全防范才能保障关键信息系统的正常运行。加强信息系统安全防护不仅要从网站的业务应用角度出发,也要从信息安全角度考虑,部署信息系统的全局安全策略,不仅要解决局部安全问题,还要解决整体的...
Web安全常见安全问题及防范措施
shandongjiushen的博客
12-09 2094
警惕安全问题,防止信息裸奔!
前端常见安全问题及防范措施
W19808的博客
06-15 405
其他措施。
前端安全和防护:如何保护网站和用户信息的安全
baidu_38876334的博客
05-23 628
通过实施输入验证和过滤、安全的密码存储、使用HTTPS协议、安全的会话管理以及定期更新和维护依赖库等方法,我们可以大大降低前端安全威胁的风险。通过采取综合的安全措施和不断的技术创新,我们可以建立一个更加安全可靠的前端环境,保护用户的隐私和数据安全。使用强大的密码哈希算法:使用具有适当的哈希算法(如bcrypt、scrypt或Argon2)对密码进行哈希处理,并确保使用随机生成的盐值来增加密码的安全性。点击劫持:攻击者通过将透明的覆盖层放在诱导用户点击的元素上,来劫持用户的点击操作,实施恶意行为。
前端安全问题及防范
crazy_jialin的博客
11-16 2763
XSS攻击 XSS(Cross-Site Scripting,跨站脚本),是比较常见安全漏洞问题,其主要的攻击方式是通过表单或者页面url参数来注入一些可执行的代码,页面中用到这些字段的地方,如果没有经过处理,就会把他们当做代码来执行,从而造成安全事故。 根据攻击的影响范围,我们可以分为三类:DOM型、反射型、存储型,下面分别介绍这三种攻击方式。 DOM型 DOM型攻击指的是在前端页面中,直接通过url解析参数的攻击方式,不经过后台接口处理。用node起了一个web服务,用来测试,源码地址: https:
常见前端安全问题以及防御措施
weixin_45836027的博客
06-02 790
常见前端安全问题以及防御措施
前端安全常见WEB攻击及防范
duansamve的博客
06-27 1706
WEB攻击中常见的有:XSS攻击、CSRF攻击、SQL注入、文件上传漏洞。 一、XSS攻击 1、定义及危害: XSS是互联网中使用最广泛的攻击手段之一。 XSS定义:XSS是跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。 危害: 盗取各类用户账号,如用户网银账号,各类管理员账号; 控制企业数据,包括读取、篡
web前端安全防范对策
123 木头人
09-08 585
xss攻击 filter过滤前端的传参 request包装类 public class InjectionAttackWrapper extends HttpServletRequestWrapper { private static final String EVENTS = "((?i) onload|onunload|onchange|onsubmit|onreset"...
前端安全以及防范
weixin_30273501的博客
09-08 103
1、XSS----跨站脚本攻击   原理:页面渲染的数据中包括可运行的脚本   注入点:html节点的内容中;html中DOM元素的属性中;JavaScript代码;富文本   防范:①http响应头中添加x-xss-protection,值为0为关闭,值为1为打开(默认)      ②对特定字符做转义:用&lt;替换<,用&gt;代替>,用&...
前端开发常见安全性处理
dianrong7450的博客
08-05 858
一:XSS跨站脚本攻击   (1)恶意攻击者向WBE页面插入恶意代码(html标签,javascript代码),使用户在浏览网页时,html恶意代码被执行,从而达到盗取用户的cookie信息,会话劫持等行为。   (2)类别     1.DOM xss:文本对象模型,使得DOM可以直接允许程序和脚本动态的访问和更新文档的内容,结构和样式。不需要服务器解析响应的直接参与,触发XSS靠...
前端性能优化方法总结
热门推荐
夜阑吹雨的博客
03-20 7万+
前端性能优化(一) 前端是庞大的,包括 HTML、 CSS、 Javascript、Image 、Flash等等各种各样的资源。前端优化是复杂的,针对方方面面的资源都有不同的方式。那么,前端优化的目的是什么 ?   1. 从用户角度而言,优化能够让页面加载得更快、对用户的操作响应得更及时,能够给用户提供更为友好的体验。   2. 从服务商角度而言,优化能够减少页面请求数、或者减小
前端有哪些安全问题,怎么防范
05-20
前端常见安全问题包括: 1. XSS攻击(跨站脚本攻击):攻击者通过注入恶意脚本代码,使用户在浏览网页时执行该脚本,从而获取用户的敏感信息。 2. CSRF攻击(跨站请求伪造):攻击者通过伪造请求,冒充用户身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值