前端安全问题有哪些?

最新推荐文章于 2024-05-31 10:04:55 发布
最新推荐文章于 2024-05-31 10:04:55 发布
阅读量832 收藏
点赞数
文章标签: 前端 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51868859/article/details/126104028
版权

在这里插入图片描述链接: link

跨站脚本攻击(XSS

概念:是一种代码注入攻击,攻击者通过在目标网站注入恶意脚本,使之在浏览器上运行。利用这些脚本,攻击者就可以获取用户的敏感信息如Cookie,SessionId,
然后危害数据安全。
注入恶意脚本的方式有三种:

反射型XSS攻击

顾名思义,恶意 JavaScript脚本属于用户发送给网站请求中的一部分,随后网站又将这部分返回给用户,恶意脚本在页面中被执行。一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。

反射型 XSS 的攻击步骤

1.攻击者构造出特殊的 URL,其中包含恶意代码。
2.用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
3.用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
3.恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

基于DOM的XSS攻击

目前更流行前后端分离的项目,反射型 XSS 无用武之地。 但这种攻击不需要经过服务器,我们知道,网页本身的 JavaScript 也是可以改变 HTML 的,黑客正是利用这一点来实现插入恶意脚本。

基于DOM 的 XSS 攻击步骤:

攻击者构造出特殊的 URL,其中包含恶意代码。
用户打开带有恶意代码的 URL。
用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。
恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

存储型XSS攻击

又叫持久型 XSS,顾名思义,黑客将恶意 JavaScript 脚本长期保存在服务端数据库中,用户一旦访问相关页面数据,恶意脚本就会被执行。常见于搜索、微博、社区贴吧评论等。

存储型 XSS 的攻击步骤

1.攻击者将恶意代码提交到目标网站的数据库中。
2.用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
3.用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
4.恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

这几种XSS攻击类型的区别

  • 反射型的 XSS 的恶意脚本存在 URL 里,存储型 XSS 的恶意代码存在数据库里。
  • 反射型 XSS 攻击常见于通过 URL 传递参数的功能,如网站搜索、跳转等。
  • 存储型XSS攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。
  • 而基于DOM的XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,其他两种 XSS 都属于服务端的安全漏洞。
一只可爱梅花鹿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端常见的安全问题有哪些?
孙叫兽的博客
07-29 1516
安全前端安全问题有哪些? XSS 跨站请求攻击 XSRF 跨站请求伪造 上边这两个问题前端也只是辅助,主要还是靠后端 XSS原理 在博客里可以写文章,同时偷偷插入一段<script>代码。 发布博客,有人查看博客内容 打开博客时,就会执行插入的js攻击代码 在攻击代码中,获取cookie(其中可能包含敏感信息),发送到攻击者的服务器,攻击者就得到了博客阅读者的信息。 XSS预防 前端替换关键字,如<替换为< 但前端替换影响性能,一般都后端替换 XS
Web前端安全
11-07
前端安全,xss、css、跨域、csp、编码等细节。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
前端安全问题
m0_37041189的博客
11-25 242
随着互联网的高速发展,安全问题已成为企业最关注的焦点之一。而前端又是容易引发安全问题的“窗口”,作为开发人员的我们,更需要充分了解如何预防和修复安全漏洞。本文将列举常见的前端安全问题,希望对你有所帮助。 本文将从以下几种安全问题展开介绍: XSS攻击 CSRF攻击 SQL注入 XXE漏洞 JSON劫持 XST攻击 暴力破解 信息泄露 其他漏洞 1. XSS攻击 XSS攻击全称跨站脚本攻击(Cross-Site Scripting),为区别CSS,在安全领域叫做XSS。攻击者通过在目标网
2024年8大典型的前端安全问题
2401_84253850的博客
05-02 967
XSS是跨站脚本攻击(Cross-Site Scripting)的简称,它是个老油条了,在OWASP Web Application Top 10排行榜中长期霸榜,从未掉出过前三名。XSS这类安全问题发生的本质原因在于,浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。
前端常见的安全问题
laihongfeng的博客
03-07 7634
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
前端常见安全问题
m0_44973790的博客
04-22 7322
文章目录 一、常见的安全问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、H
web安全——前端常见的安全问题有哪些?
朝夕奔梦
02-08 4073
XSS(Cross Site Scripting, 跨站脚本攻击) 这是前端最常见的攻击方式。举个栗子:我在一个博客网站正常发表一篇文章,输入汉字、图片和英文,完全没有问题。但是如果我写的是一段恶意的js脚本,例如获取网站的cookie然后传输到自己的服务器上,那我这篇博客的每一次浏览都会执行这个脚本,都会把访客的cookie带到我的服务器上来。 原理就是通过某种方式(发布文章、发布评论)将一...
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端常见安全问题
NJR10byh的博客
02-27 4653
以下是对一些常见的前端安全问题的总结 一、iframe 1、防止自己的网站不被其他网站的 iframe 引用 // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.location){ top.location.href = 'http://www.baidu.com' } 2、禁用被使用的 iframe 对当前网站某些操作 在HTML5中,iframe有了一个叫做sa
前端安全防御大全
SH'S BLOG
01-20 567
网络安全 前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的 介绍一下常见的安全问题,解决方式,和小的Demo,希望大家喜欢 网络安全汇总 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 在我看来,前端可以了解并且防御前4个就可以了(小声逼逼:大佬当我没说) XSS Cross Site...
记录一次前端页面崩溃的产生及处理
weixin_51123079的博客
05-30 511
记录一次前端页面崩溃的产生及处理
前端开发记录
最新发布
qq_25806839的博客
05-31 165
【代码】前端开发记录。
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 524
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
vue 笔记03
m0_47045804的博客
05-30 869
vue挂载以后把所有内容手抄一份就叫做虚拟dom 假设你要操作dom 等一下先不要操作真实dom, 先修改我这个手抄的虚拟的DOM 改完了么?如果我们需要一个变量 这个变量的值是根据data里面某个值或者某几个值的变化而变化的时候,那么我们就需要用到vue里面的computed计算属性。data里面定义的数据无法直接互相访问 因为加载到data的时候还没有产生当前的vue对象。return 返回的结果就是当前计算属性的值。回调函数的参数就是过滤原本的值return 返回过滤的新值。
web前端三大主流框架
低调做人,低调编码,神码都是浮云
05-30 939
Web前端三大主流框架介绍:Angular、React、Vue
【JS实战案例汇总——不定时更新版】
微木
05-30 337
练习JS的实用案例,倒计时算法、定时轮播图
Flutter 中的 SizeChangedLayoutNotifier 小部件:全面指南
smileKH的博客
05-28 542
是一个混合了和行为的布局小部件。它允许子组件在尺寸变化时发送通知,而其他组件可以订阅这些通知来响应尺寸变化。
前端安全问题要考虑哪些?
03-09
前端安全问题需要考虑以下几点:1.输入验证,防止恶意输入;2.防止 XSS 攻击,对用户输入的数据进行过滤和转义;3.防止 CSRF 攻击,采用 token 或验证码等方式进行验证;4.防止点击劫持,设置 X-Frame-Options 防止网页被嵌入到 iframe 中;5.防止文件上传漏洞,限制上传文件的类型和大小,并对上传的文件进行检测和过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值