有哪些可能引起前端安全的问题?

最新推荐文章于 2023-07-29 21:34:20 发布
最新推荐文章于 2023-07-29 21:34:20 发布
阅读量436 收藏
点赞数
分类专栏: http+https html 文章标签: javascript html 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45557681/article/details/120011100
版权

1、跨站脚本攻击(Cross-Site Scripting ,XSS)

一种代码注入方式,为了与css区分所以称之为XSS。早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人在浏览器到有恶意的脚本页面。

2、iframe滥用

iframe中的内容是由第三方来提供的,默认情况下它们不受我们的限制,它们可以在iframe中运行Javascript脚本、Flash插件、弹出对话框等。

3、跨站请求伪造(Cross-Site Request Forgeries , CSRF)

指攻击者通过设计好的陷进,强制对于完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。

4、恶意第三方库

无论开发服务端还是客户端,绝大多数的时候我们都在借助开发框架和第三方工具进行快速开发,一旦第三方库被植入恶意代码就容易引起安全问题。

详细介绍如下

1、XSS 攻击(跨站脚本攻击)

跨站脚本攻击 英文名称:Cross Site Script , XSS攻击,通常指黑客通过HTML注入篡改了页面,插入恶意脚本,从而在用户浏览页面时,控制用户浏览器的一种行为。

XSS分类

根据攻击源来源分为:存储型、反射型和DOM型三种。

  • 存储区:恶意代码存放位置。
  • 插入点:由谁取代恶意代码,并插入到网站。
存蓄型XSS

原理:一般是攻击者输入恶意代码存储在服务端,主要是将XSS代码发送到服务器,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。

  1. 攻击者将恶意代码提交到目标服务器中。
  2. 用户打开目标网站时,网站服务器取出包含恶意代码的数据,拼接在HTML中返回给浏览器。
  3. 用户浏览器解析带有恶意代码的数据。
  4. 恶意代码窃取用户数据并发送到攻击者网站;或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
反射型XSS

原理:反射型 XSS,也叫非持久型 XSS,是指发生请求时,XSS 代码出现在请求 URL 中,作为参数提交到服务器中,服务器解析并响应。响应结果中包含 XSS 代码,最后浏览器解析并执行

  1. 攻击者构造出特殊的URL,其中包含恶意代码;
  2. 用户打开带有恶意代码的URL时,网站服务器将恶意代码从URL中取出,拼接在HTML中返回给浏览器;
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码被执行;
  4. 恶意代码窃取用户数据并发送到攻击者网站;或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
DOM型XSS

原理:和反射型XSS攻击一样。

  1. 攻击者构造出特殊的 URL,其中包含恶意代码;
  2. 用户打开带有恶意代码的URL;
  3. 用户浏览器接收到代码后进行解析,前端js取出URL中的恶意代码并执行;
  4. 恶意代码窃取用户数据并发送到攻击者网站;或冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

DOM型XSS 和前两种 XSS 的区别:DOM型取出和执行恶意代码由浏览器完成,属于前端自身的安全漏洞;而其他两种则属于服务端的安全漏洞。

如何阻止发生

预防这两种漏洞,有两种常见的做法:

  • 改成纯前端渲染,把代码和数据分隔开;
  • 对 HTML 做充分转义。
2、CSRF分类
GET 类型的 CSRF

GET 类型的 CSRF 实现方式非常简单,只需要一个普通的 HTTP 请求,一般会放在图片等资源里面,受害者在打开危险网站后,危险网站的图片加载就发出了一个危险的 GET 请求,这样就完成了一个 GET 类型的 CSRF 攻击。

POST 类型的 CSRF

这种方式通常会使用一个自动提交的表单。当访问该页面时,表单会自动提交,相当于模拟用户完成了一个 POST 操作。
POST 类型的攻击通常会比 GET 类型的更加严格一点,但仍并不复杂,所以后端的接口并不能将安全寄托在仅允许 POST 上面。

链接类型的 CSRF

这种方式并不常见,实现思路和 GET 类型一致,但是需要用户手动点击才能触发,因此攻击者通常会以广告的形式诱导用户中招。

CSRF的两个特点:

  • 发生在第三方域名;
  • 攻击者不能获取 cookie 信息,只能使用。

针对这两点,我们可以专门指定防护策略:

  • 阻止部名外域的访问
    • 同源检测
    • Samesite Cookie
  • 提交时要求附加本域才能获取的信息
    • Token
    • 双重 Cookie 验证
Iframe 滥用

严格来说这个不算是安全问题,但是如果是要防范自己网站被人用 iframe 嵌套的话,可以使用这几种方法:

添加响应头

在响应头中加一个 X-Frame-Options

取值有三种,大部分浏览器都支持:

  • DENY:拒绝当前页面加载任何 Frame 页面;
  • SAMEORIGIN:Frame 页面只能加载在同源网站下;
  • ALLOW-FROM origin:origin 为允许 Frame 页面加载的地址。
屈小康
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端常见安全问题
m0_44973790的博客
04-22 7430
文章目录 一、常见的安全问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、H
前端安全(1):引起前端安全问题的因素
imagine_tion的博客
12-09 298
一、有那些可能引起前端安全问题 跨站脚本(Cross-Site Scripting,XSS):一种代码注入方式,为了与CSS区分所以被称为XSS,早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面,其注入方式很简单包括但不限于Javascript / VBScript / CSS / Flash 等。 iframe的滥用:iframe中的内容是由第三方提供的,默认情况下它们不受我们控制,它们可以在iframe中运行Javasc
前端常见的安全问题
laihongfeng的博客
03-07 7665
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
前端常见问题引起原因(一)
weixin_30402343的博客
09-11 186
JS部分: 1.引用公共模板页(该模板一般引用了其对应的JS文件)到某页面,部分函数功能不可用且控制台不报错。 查错方式:看其他引用该模板页的功能是否可用,如果其他页面可用,对比当前页面与模板页引用的js文件是否冲突;如果其他页面该功能依然不可用,则查看该功能函数是否有误。 (引用JS冲突,常见的是多次JQuery库引起的冲突) 2.在同一个页面中,同样方式触发及生成的提示框,有的可以正常...
安全测试===8大前端安全问题(上)
软件测试技术的博客
01-03 81
本文转自:https://www.testwo.com/article/1144 当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。比如说,SQL...
前端设计师需要了解的9个问题
09-25
前端设计是Web开发的重要组成部分,涉及用户...了解并掌握这些关键问题,有助于前端设计师构建高效、兼容且具有良好用户体验的Web页面。在实际工作中,不断学习和适应新的技术和浏览器特性也是提升专业技能的重要途径。
前端开发中遇到的一些问题
07-14
前端开发中遇到的一些问题...这些问题可能是由于 JavaScript 中的递归函数、数字判断、空字符串处理、img标签的src属性赋值等原因引起的。通过总结和分析这些问题,我们可以更好地掌握前端开发的技能,并提高开发效率。
为什么示波器波形放大之后会有锯齿?
01-20
图1 原信号波形图2 放大后波形二、原因阐述1、运行状态下当示波器处于【Run】时,示波器模拟前端会根据不同的垂直档位,始终会将信号的幅度调理到 ADC合适的范围内,再进行量化,所以运行状态下的波形放大
前端-代码走查模板.docx
12-23
前端项目管理中,代码走查是一个至关重要的环节,它有助于规范开发行为,统一团队内的编码风格,并且能够提前发现并修复潜在的问题,提高代码质量和软件稳定性。代码走查不仅是一种质量保证手段,而且能够促进团队...
物联网面临的主要安全问题..pdf
03-16
* 决策支持系统安全:智能处理的过程往往可能产生决策、控制不当等安全问题,甚至可能因无法有效识别恶意程序和指令等失误,致使自动控制变成失去控制。 物联网面临的主要安全问题包括感知层的安全问题、网络层的...
解决前端恶意代码侵入的一些思考
speedoooo的博客
11-07 1640
沙箱技术有很多种类,是否能称之为“安全沙箱”,则视乎其隔离的程度和自身的技术目的。例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行,你也可以把这个虚拟机一键删除,不管里面安装了什么东西。
前端八大安全问题总结及解决措施
weixin_42839080的博客
08-05 1401
前端的常见安全问题总结: http://www.ciotimes.com/InfoSecurity/139333.html
前端开发遇到的一些问题和技术总结
qq_56355440的博客
03-05 2713
通用后台管理系统项目笔记,以及前端学习过程中的技术总结。
前端项目遇到的一些问题及解决办法
丑小鸭变黑天鹅的博客
02-18 4492
前端开发遇到的一些问题一、怎样才能让select里的内容居中显示?二、点击一个select里面的一个option,向另一个select添加一组option用js怎么实现?三、点击select里不同的option时如何显示不同的内容(文本、表格、echarts图表等)? 一、怎样才能让select里的内容居中显示? 最近在做一个可视化项目,有一个下拉菜单,很基本的一个居中显示居然把我难住了。 最开始的想法使用text-align:center这个方法行不通。然后又试了padding,这个效果不是很好,并不能让
8大典型的前端安全问题(下)
wangluo12138的博客
11-23 338
防火防盗防猪队友:不安全的第三方依赖包
关于15种前端安全检测及危害
Thekingyu的博客
04-23 686
关于检测漏洞类型与检测方法如下表所示: 序号 漏洞类型 检测方法 漏洞危害 XSS 通过对交互点传入危险标签和闭合符号,结合前端内容判断XSS 漏洞是否存在。 XS...
前端常见的安全问题及防范措施
程序员阿飘 的博客
02-11 166
关于日志脱敏,小明能想到的最直接的方法,就是重载类的 toString() 方然,然后用工具类脱敏敏感信息。你是一名黑客,你看到了数据库中的掩码+哈希,且知道他们哈希算法是 MD5 哈希,可以获取对应的手机号明文吗?不过在代码评审的时候,项目经理却提出了一个问题,你的代码保护用户的信息安全了吗?整体的数据信息就会乱七八糟,当需要数据整合,或者统一的加密升级时,代价会非常高。”,项目经理顿了顿,“重写吧,再给你 2 天时间。如果你作为安全部门,或者项目经理,一定要把相关的需求给直接的明文的需求砍掉。
前端安全问题及防范
crazy_jialin的博客
11-16 2798
XSS攻击 XSS(Cross-Site Scripting,跨站脚本),是比较常见的安全漏洞问题,其主要的攻击方式是通过表单或者页面url参数来注入一些可执行的代码,页面中用到这些字段的地方,如果没有经过处理,就会把他们当做代码来执行,从而造成安全事故。 根据攻击的影响范围,我们可以分为三类:DOM型、反射型、存储型,下面分别介绍这三种攻击方式。 DOM型 DOM型攻击指的是在前端页面中,直接通过url解析参数的攻击方式,不经过后台接口处理。用node起了一个web服务,用来测试,源码地址: https:
这 5 种前端开发不良习惯一定要避免,最后一种最可怕
最新发布
linsk1998的博客
07-29 75
注意看,这个是一个大屏报表的示例,里面的每一个面板都有复杂的交互功能。同样我们看这种管理后台,增删改查全部放到一个文件里了,弹窗一多简直就是灾难。注意看,这个这里有一个翻页,我点了第二页,然后还在加载的时候点第三页,第二的请求并没有终止,会导致页面错乱。注意看,这个按钮未做防重复点击。当用户按下按钮时,如果未做防重复点击,轻则用户体验不佳,重则业务罗辑错误甚至造成财产损失。好了,本期的分享就到这了。第三,没有在恰当的时候,终断网络请求。第四,没有考虑好用户的退后操作。第五,没有处理必定会发生的错误。
前端面试题怎么解决跨域问题
06-09
跨域问题是由浏览器的同源策略引起的,同源策略是一种安全机制,它限制了一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 解决跨域问题的常用方法有以下几种: 1. JSONP JSONP(JSON with Padding)是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值