前端安全-记录

最新推荐文章于 2024-09-05 16:15:02 发布
最新推荐文章于 2024-09-05 16:15:02 发布
阅读量125 收藏
点赞数
文章标签: 前端 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45341411/article/details/132735953
版权

网络安全-注意事项

  1. 输入错误的用户名,不应提示 账户不存在 攻击者可以通过此方法枚举找出存在的账号
  2. 前端打包 的 static 文件下的静态资源,页面会直接请求获取,关键资源不应放在此文件下
  3. 不要相信用户所输入的信息,前端做校验,但是抓包工具还是可以发送特殊字符,所以后端也要做校验,前端的输入输出需要转义,避免xss攻击  ,严格进行转义
  4. 密码使用强密码 密码长度8~30位,且必须包含字母、数字、特殊字符的vue表单校
  5. 用户登录账号等关键信息不可明文传输;采用加密传输,切记不可采用单层md5加密,适当的解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。
  6. 不安全的http请求方式,HTTP1.0定义了三种请求方法: GET、POST、HEAD。HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT,1、OPTIONS方法,将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。2、PUT方法,由于PUT方法自身不带验证机制,利用PUT方法即可快捷简单地入侵服务器,上传Webshell或其他恶意文件,从而获取敏感数据或服务器权限。3、DELETE方法,利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。建议把除了GET、POST的HTTP方法禁止,有两方面原因1、除GET、POST之外的其它HTTP方法,其刚性应用场景较少,且禁止它们的方法简单,即实施成本低;2、一旦让低权限用户可以访问这些方法,他们就能够以此向服务器实施有效攻击,即威胁影响大。
  7. 文件上传安全校验,格式,文件内容,文件名等进行校验
  8. 跨站请求伪造,token 校验
  9. 身份凭证 不可在url中直接传输,凭证失效时,一种是直接跳转登录页面重新登录,一种是刷新token继续完成当前请求,除了第一次判断token失效后,进行刷新token的操作,其余的刷新token都是多余的。可以加一个刷新标识
  10. 尽量使用HTTPS 协议,防止明文抓包
  11. 尽量避免用localStorage存储敏感信息,
  12. .....(待补充)

荒泷一斗-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全-网络安全数据管理及可视化平台的前端实现.zip
04-03
在这个项目中,我们关注的是网络安全数据管理与可视化的前端实现,这通常是指通过用户界面展示网络安全状态,帮助管理员监控、理解和响应潜在的安全风险。 前端实现是构建任何Web应用的关键部分,对于网络安全数据...
资源专区-课程设计-编程作业-前端设计-聊天室的设计与实现
05-28
4. 获取聊天记录接口:用于加载历史消息。 七、安全性与性能优化 1. 安全性:防止XSS和CSRF攻击,对用户输入进行过滤和转义。 2. 性能:合理使用缓存,减少不必要的请求,优化WebSocket连接的断开和重连机制。 ...
前端安全-加密
lovepink527的博客
01-16 5107
1 密码安全 1.1 泄露渠道 数据库被盗 服务器被入侵 通讯被窃听 内部人员泄露 其他网站(撞库) 1.2 防御 严禁明文存储 单向变换 变换复杂度要求 密码复杂度要求 加盐(防止拆解) 1.3 哈希算法 明文-密文 一一对应 彩虹表记录明文密文一一对应表,容易破解 两次md5加密也容易破解 所以密码必须复杂 加盐 加盐可以使密码更加难破解 加盐+ 字符串 + 密码 雪崩效应 - 明文: 明文小幅度变化,密文加剧变化 密文: 明文无法反推 密文固定长度: md5 sha1 sha256
前端安全- 常见的网络攻击
lovepink527的博客
01-16 3309
1. xss 攻击 1.1 反射性攻击 url参数直接注入(地址栏运行脚本) 1.2 影响: 利用虚假输入表单骗取用户个人信息 利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求 显示伪造的文章或图片 1.3 防御 csp内容安全策略 ...
前端规范 - 前端广义安全规范
loulanyijian的专栏
12-01 1224
不仅仅局限为前端老生常谈的xss、csrf等典型性前端安全问题 更多的,是前端面临的整体的一些合规、风控、信息泄露等一系列问题
前端安全问题记录
zcy_csdn123的博客
12-27 2096
1、浏览器中可以看到源码问题 可以在coonfig中配置productionSourceMap:false 2、cookie设置问题 由后端设置,此时浏览器里查看 HTTPOnly 会出现对号 这样无法用JS获取cookie
前端进阶】前端安全:从入门到实践
weixin_55846296的博客
06-27 1714
Web应用程序的广泛使用,使得Web安全变得越来越重要。随着Web技术的不断发展和Web应用程序的复杂性增加,越来越多的前端安全漏洞受到广泛关注。为了保护Web应用程序和用户数据,我们需要了解和掌握前端安全的知识和实践。在本文中,我们将介绍前端安全的基本概念,涉及到一些常见的前端安全问题以及如何保护Web应用程序和用户数据的方法。最后,我们将深入探讨前端安全的实践方案,以帮助您实现更安全的Web应用程序。在日益复杂和高风险的网络世界中,保护Web应用程序和用户数据至关重要。
前端---计算机网络
qq_44665456的博客
04-20 2926
一、HTTP状态码 开头表示客户端应该继续发送请求 2 开头表示成功的请求 200 表示 OK ,正常返回信息 200 表示 OK ,正常返回信息 202 表示服务器已经接受了请求,但还未处理 3 开头表示重定向 301 表示永久重定向,请求的网页已经永久移动到新位置 302 表示临时重定向 304 表示自从上一次请求以来,页面的内容没有改变过 4 开头表示客户端错误 401 表示服务器无法理解请求的格式 402 表示请求未授权 403 表示禁止访问 404 表示请求的
前端常见安全问题
NJR10byh的博客
02-27 4683
以下是对一些常见的前端安全问题的总结 一、iframe 1、防止自己的网站不被其他网站的 iframe 引用 // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.location){ top.location.href = 'http://www.baidu.com' } 2、禁用被使用的 iframe 对当前网站某些操作 在HTML5中,iframe有了一个叫做sa
前端所有安全问题总结
qq_38713274的博客
04-04 2855
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
前端网络安全
weixin_43578304的博客
09-28 1606
公司最近做web网站安全等保,记录下学习到的知识
CORS前端跨域不安全文件记录
weixin_44032319的博客
10-28 3302
夸克浏览器地址 https://quark.sm.cn/s?q=Quark 垃圾百度 升级谷歌版本重制了设置 Access to image at ‘xxxxxxx’ from origin ‘xxxxxx’ has been blocked by CORS policy: The request client is not a secure context and the resource is in more-private address space private. 报错说我本地的文件因为跨域安全
毕设前端---药品存销管理系统.zip
12-31
2. **Java后端开发**:可能涉及Spring Boot框架,包括RESTful API设计、数据库操作(JPA或MyBatis)、事务管理、安全控制(Spring Security)等。 3. **数据库设计**:可能使用MySQL或Oracle,涉及到药品信息表、...
前端项目-commonmark.zip
09-02
- 笔记应用:用户可以方便地记录和分享Markdown格式的笔记。 为了在项目中使用commonmark.js,开发者首先需要将压缩包解压,然后通过npm或yarn引入库。例如,使用npm,可以在项目目录下运行`npm install commonmark...
前端项目-jsforce.zip
09-02
在使用`jsforce`时,注意遵循最佳实践,如安全地管理认证信息,避免在前端存储敏感信息,以及正确处理错误和异常,以确保应用程序的稳定性和安全性。 8. **示例和社区资源** `jsforce`的GitHub仓库(jsforce/...
vue3.5新增特性
最新发布
yunbabac的博客
09-05 177
vue3.5
js对象操作常用方法
m0_75276704的博客
09-02 540
2.构造函数创建 2.方括号 三、添加属性 四、删除属性 五、判断属性是否存在 1.in运算符 2.hasOwnProperty方法 六、遍历对象属性 1.for...in...循环 2.Object.keys,Object.values,Object.entries 七、深拷贝与浅拷贝 1.浅拷贝 2.深拷贝 八、合并对象 Object.assign 九、其他方法 1.Object.is() 比较两个
后端输出二进制数据,前端fetch接受二进制数据,并转化为字符输出
cdcdhj的博客
09-01 523
在这个前端代码中,我们使用fetch API请求PHP脚本,并获取二进制数据。然后,我们将ArrayBuffer转换为字符串,以便在JavaScript中使用。在PHP中,你可以将字符串或其他数据类型转换为二进制数据,并通过HTTP响应发送给前端
vue3使用-watch监听总结
weixin_44072254的博客
09-01 502
{deep: true, immediate: true, flush: 'post'}:deep是深度监听;flush:如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post',sync'创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发;flush: 'post', 如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post'flush: sync',创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发。监听数组的方式-示例。
web前端开发会议记录
06-10
好的,以下是一份Web前端开发会议记录: 日期:2022年2月15日 地点:线上会议 出席人员: 1. 张三,前端开发工程师 2. 李四,前端开发工程师 3. 王五,UI设计师 4. 赵六,产品经理 会议议程: 1. 介绍新的前端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值