深入Web安全(防御篇)

已于 2024-01-19 10:49:50 修改
阅读量143 收藏
点赞数
文章标签: web安全 前端 javascript
于 2023-01-15 19:47:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/128697078
版权

前言

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”,上篇介绍的是攻击篇,这篇我们来讲讲如何防御这些攻击~

一、XSS攻击的防御

XSS攻击防御的理念就是永远不要相信用户!永远不要相信用户!

  • 永远不信任用户的提交内容
  • 不要将用户提交内容直接转换成DOM

1.1 防御XSS攻击的现成工具

前端:

  • 主流框架默认防御XSS
  • google-closure-library 服务端(Node):
  • DOMPurify

1.2 需要动态生成DOM

将string转化成DOM

可以使用new DOMParser()API,这种时候一定要对string进行过滤

上传SVG

SVG中可以内嵌script标签,会导致在这段SVG在浏览器加载的时候完成XSS攻击,因此对用户上传的SVG文件也要进行过滤。

<svg><script>alert("xss");</script>
</svg>
自定义跳转链接

如果允许用户自定义跳转链接的话一定要过滤。

<a href="javascript:alert('xss')"></a>
自定义样式

尽量不要允许用户自定义样式。

1.3 Content Security Policy(CSP)

  • 哪些源(域名)被认为是安全的
  • 来自安全源的脚本可以执行,否则直接抛错
  • 对eval + inline script 说🙅‍
如何配置

服务器的响应头部:

Content-Security-Policy: script-src 'self' 同源
Content-Security-Pplicy: script-src 'self' https://domain.com

浏览器meta:

<meta http-equiv="Content-Security-Policy" content="script-src self">

二、CSRF的防御

我们知道在CSRF中,请求是伪造的,也就是它所有的请求来源都是异常的,不是真正的域名,那我们四不是可以限制请求来源从而达到限制伪造请求的目的呢,答案是可以的。

2.1 token

2.2 限制iframe攻击

2.3 避免用户信息被携带:SameSite Cookie

2.4 防御CSRF的正确姿势

如果对每一个接口都做CSRF防御,那些太累了,又或者说,不够优雅,应该在中间件中统一处理CSRF的防御工作。

三、SQL注入的防御

  • 找到项目中查询SQL的地方
  • 使用prepared statement

四、其他注入的防御

五、防御DDoS

六、防御中间人

https的介入

HTTPS的一些特性

  • 可靠性:加密
  • 完整性:MAC验证
  • 不可抵赖性:数字签名

HTTP Strict-Transport-Security(HSTS)

Subresource Integrity(SRI)

对比一个静态文件的hash值是否被篡改

程序员小肖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【第1111期】Subresource Integrity 介绍
前端早读课
11-16 946
前言 SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。 正文从这开始~ 这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource
深入理解web安全攻防策略
m0_71745484的博客
01-28 686
互联网时代,数据安全与个人隐私信息等受到极大的威胁和挑战,本文将以几种常见的攻击以及防御方法展开分析。
漏洞修复之 SRI
波子汽水
11-02 5359
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组( Web
Web 安全之 SRI(Subresource Integrity 子资源完整性)详解
最新发布
路多辛的所思所想
08-23 1597
SRI,全称是 Subresource Integrity,即子资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源。
前端安全系列(一):如何防止XSS攻击?
Innocence_0的博客
02-15 1492
前端安全系列(一):如何防止XSS攻击?
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
Web安全深度剖析
04-15
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
Web安全深度剖析.pdf
05-16
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
白帽子讲web安全
06-10
《白帽子讲Web安全》是一本深入探讨网络安全领域的专业书籍,尤其关注Web应用程序的安全问题。全书分为四个主要部分,全面覆盖了从理论基础到实际操作的诸多方面,旨在帮助读者构建完整且实用的安全世界观。 第一...
web安全XSS攻击demo
04-18
深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
http-observatory-cli:HTTP天文台的命令行工具
05-30
Mozilla HTTP Observatory :: 命令行实用程序 请注意,此版本的 Observatory CLI 已被弃用,取而代之的。 HTTP Observatory (docker) 入门 $ docker run --rm fgribreau/httpobs-cli www.mozilla.org Score: 30 [E] Modifiers: [ -5] Initial redirection from http to https is to a different host, preventing HSTS [ -5] Subresource Integrity (SRI) not implemented, but all external scripts are loaded over https [ -5] X-Content-Typ
Web安全之Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 6123
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
Content Security Policy设置
阳光
06-06 5027
Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载,img-src 只允许本网站和 data: URI 的图片加载,style-src 只允许本网站和内联样式加载,font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。
nginx转发https网页加载http图片乱码问题
艾瑞-Arin
03-08 3158
原因一: 在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。 解决方案: 网页使用https情况下需要全站代码都支持https://。 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。 原因二:X-Content-Type-Options 互联网上的资源有各种类型,通.
AppScan检测“Content-Security-Policy”头缺失或不安全
热门推荐
liudoyang的博客
12-31 2万+
“Content-Security-Policy”头缺失或不安全 用AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
内容安全策略CSP(Content-Security-Policy)
万事俱备,就差一个程序员了
01-19 550
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 的实质就是...
Content Security Policy (CSP) not implemented漏洞
ChangKA的博客
06-03 5604
我使用的是在nginx里解决的,方便快捷 在server {}对象块中添加如下代码 在nginx.conf里添加 add_header Content-Security-Policy "default-src 'self';";
摸鱼日记1 针对缺失“Content-Security-Policy“头漏洞整改建议
weixin_38269721的博客
10-13 2936
起因 公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"头漏洞整改建议`,漏扫方建议 Nginx 在nginx.conf中进行设置: server { … add_header Content-Security-Policy "default-src 'self';"; } 嗯,很简单,上手干。 nginx -s reload 服务起来了,访问一下 www.baidu.com 访问...
动态异构冗余的拟态防御Web服务器安全新策略
本文主要探讨了邬江兴院士领导的团队针对Web服务器系统面临的严峻安全挑战提出的一种创新性防御...这文章为我们理解Web服务器的安全防护提供了新的视角,并展示了拟态防御作为一种前沿防御技术在实际应用中的潜力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值