在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施

于 2024-02-23 16:29:06 发布
阅读量1.5k 收藏 6
点赞数 22
分类专栏: 其他 文章标签: web安全 XSS攻击 CSRF攻击 点击劫持 UI 覆盖攻击 内容安全策略CSP 跨站请求伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanghai597/article/details/134811536
版权

文章目录

随着互联网的发展,Web应用程序越来越普及,但是Web安全问题也随之增加。前端开发者作为Web应用程序的构建者之一,需要了解和掌握Web安全的基本知识和解决方案。本文将介绍前端开发者必须知道的Web安全问题和防范措施。

一、XSS攻击

XSS攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

XSS攻类型:

1、反射型XSS

当用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。Web服务器将注入一个脚本,比如一个错误信息、搜索结果等,未进行过滤直接返回到用户的浏览器上。

攻击原理
  • 攻击者构造出特殊的url,其中包含恶意代码。
  • 用户打开带有恶意代码的url时,网站服务端将恶意代码从url取出,拼接在HTML中返回给用户。
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
2、DOM型XSS

DOM 型 XSS 攻击,实际上就是前端 JavaScript 代码不够严谨,把不可信的内容插入到了页面。在使用 .innerHTML、.outerHTML、.appendChild、document.write()等API时要特别小心,不要把不可信的数据作为 HTML 插到页面上,尽量使用 .innerText、.textContent、.setAttribute() 等。

攻击原理
  • 攻击者构造出特殊数据,其中包含恶意代码。
  • 用户浏览器执行了恶意代码。
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
3、存储型XSS

恶意脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器传回并执行,影响范围比反射型和DOM型XSS更大。存储型XSS攻击的原因仍然是没有做好数据过滤:前端提交数据至服务端时,没有做好过滤;服务端在接受到数据时,在存储之前,没有做过滤;前端从服务端请求到数据,没有过滤输出。

攻击原理
  • 攻击者将恶意代码提交到目标网站的数据库中。
  • 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
防范措施

  • 输入检查和过滤:对所有用户输入进行严格的检查和过滤,防止恶意代码注入。这包括对表单输入、URL参数、Cookie等进行检查。确保不允许直接在页面上输出用户提交的数据,特别是在HTML中,应该对特殊字符进行转义。

  • 使用POST代替GET:因为GET请求会将数据放在URL中,容易被恶意用户利用来执行XSS攻击。而POST请求则将数据放在请求体中,更安全。

  • 避免直接在Cookie中泄露用户隐私:比如email、密码等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。

  • 验证码:防止脚本冒充用户提交危险操作。

  • 使用HTTPOnly标记来限制cookie的访问,防止cookie被盗用。
    当用户的登录凭证存储于服务器的 session 中,而在浏览器中是以 cookie 的形式存储的。很多XSS攻击目标都是窃取用户cookie伪造身份认证。可以通过在 cookie 中设置 HttpOnly 属性,js脚本将无法读取到 cookie 信息。

    cookies.set(name, value, {
    httpOnly: true // 默认为 true
})

  • 内容安全策略(CSP):防XSS等攻击的利器。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

    • 通过 HTTP 头信息的Content-Security-Policy的字段

      //该页面只允许当前源和https://apis.example.com 这 2 个源的脚本加载和执行
Content-Security-Policy: script-src 'self' https://apis.example.com

    • 通过网页的标签

      //该页面只允许当前源和https://apis.example.com 这 2 个源的脚本加载和执行
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://apis.example.com">
二、CSRF攻击

跨站请求伪造(CSRF)是一种黑客攻击技术,攻击者通过伪装来自受信任的用户的请求来攻击受信任的网站,利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。

攻击原理:

  • 用户登录、浏览并信任正规网站WebA,同时,WebA通过用户的验证并在用户的浏览器中产生Cookie。

  • 攻击者WebB通过在WebA中添加图片链接等方式诱导用户User访问网站WebB。

  • 在用户User被诱导访问WebB后,WebB会利用用户User的浏览器访问第三方网站WebA,并发出操作请求。

  • 用户User的浏览器根据WebB的要求,带着步骤一中产生的Cookie访问WebA。

防范措施:

  • 使用随机的Token来验证用户请求的合法性。
    服务端给用户生成一个token,加密后传递给用户,用户在提交请求时,需要携带这个token,服务端验证token是否正确。

  • 同源检测:阻止不同域的访问
    请求来源限制,此种方法成本最低,但是并不能保证 100% 有效,因为服务器并不是什么时候都能取到 Referer,而且低版本的浏览器存在伪造 Referer 的风险。

  • 涉及到数据修改操作严格使用 post 请求而不是 get 请求
    get 的 URL 会被放在浏览器历史和 WEB 服务器日志里面,如果把关键数据放在 get 里面,被人偷窥了浏览器,会造成数据泄露。而 post 日志没有记录,也不会保留 URL,只要数据库服务器不被入侵,基本还是安全的。

  • 使用验证码
    强制用户必须与应用进行交互,才能完成最终请求。此种方式能很好的遏制 CSRF,但是用户体验相对差。

三、点击劫持

点击劫持(click hijacking)也称为 UI 覆盖攻击。它通过一些内容(如游戏)误导被攻击者点击,虽然被攻击者点击的是他所看到的网页,但其实所点击的是另一个置于原网页上面的透明页面。

攻击原理:

  • 攻击者构建了一个非常有吸引力的网页

  • 将被攻击的页面放置在当前页面的 iframe 中

  • 使用样式将 iframe 叠加到非常有吸引力内容的上方

  • 将iframe设置为100%透明

  • 用户在不知情的情况下点击按钮,触发执行一些其他命令。

防范措施:

  • 使用X-Frame-Options防止网页被iframe:X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。

    • DENY // 拒绝任何域加载
    • SAMEORIGIN // 允许同源域下加载
    • ALLOW-FROM // 可以定义允许frame加载的页面地址

  • 判断当前页面是否被嵌入到 iframe 中。

    if(top.location != self.location){
  top.location = window.location;
}
四、项目中如何预防安全问题

  • 强化安全意识:在项目启动阶段,就需要强调安全问题的重要性,强化所有项目成员的安全意识。让每个人都明白自己在保障项目安全方面的责任,并积极参与到安全工作中来。

  • 建立安全管理制度:制定一套完善的安全管理制度,明确各项安全管理要求和标准。包括安全培训制度、安全操作规程、安全检查制度等,确保每个环节都得到有效管理。

  • 实施安全性设计:从设计阶段开始,就需要注意安全性设计。遵循安全性设计原则和标准,考虑可能出现的攻击和漏洞,采取相应的防范措施。同时,需要加强数据加密、访问控制、权限管理等关键环节的安全性设计。

  • 加强代码审查:建立代码审查机制,确保代码质量和安全性。通过定期的代码审查,可以发现并纠正潜在的安全漏洞和错误。同时,需要关注最新的安全漏洞和补丁,及时修复和升级系统。

  • 实施安全培训:对项目成员进行安全培训,提高他们的安全意识和技能。培训内容包括安全基础知识、安全漏洞防范、应急响应等。定期组织安全培训和演练,增强项目成员的安全意识和应对能力。

  • 建立安全测试机制:在项目开发过程中,建立安全测试机制。包括安全性测试、可靠性测试、性能测试等。通过模拟各种攻击场景和漏洞利用方式,发现并修复潜在的安全问题。同时,需要关注最新的漏洞利用方式和攻击手段,及时调整测试策略。

  • 做好数据保护:保护项目中的敏感数据是预防安全问题的关键之一。采取加密、访问控制、数据备份等措施,确保数据的机密性和完整性。同时,需要关注数据的安全审计和监控,及时发现并应对数据安全事件。

  • 定期审查和更新:定期审查和更新项目的安全策略和流程,以适应新的安全威胁和业务需求。同时,需要关注最新的安全漏洞和补丁,及时修复和升级系统。

邹荣乐
关注
  • 22
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网页前端常见攻击方式和预防攻击的方法
09-28
探讨网站前端开发安全问题.
web前端开发常见的多列布局解决方案整理(一定要看)
11-29
多列布局 多列布局在web前端开发也是较为常见的,比如常见的三列、四列及以上,列的布局使得单一的页面可以展示更多分门别类的内容。这里会提到的多列布局有两列定宽加一列自适应、多列不定宽加一列自适应、多列等分三种。 两列定宽加一列自适应布局 本布局模式一共分为三列,其两列宽度固定,一列宽度随内容宽度而改变。简易实现代码如下: 两列定宽加一列自适应 本案例每一列高度为自适应,即高度和内容高度一致,左列和列宽度为100px,右列宽度为自适应,通过float浮动布局结合块级元素的特性来实现。需要注意的是背景颜色可以设置在p标签上,也可以设置在div标签上。 多列不定宽加一列自适应 这里讲解的案
前端安全问题与防御
Innocence_0的博客
12-31 917
比如你的网站登录的时候存到 cookie 的一些个人信息,当你访问黑客的网站有一段相同代码隐藏 div,但你点击的时候就会导致你的网站被登出或者被登录,就是在对别的网站就行操作的时候会对你之前访问的网站发送请求。现如今的项目开发,很多都喜欢用别人写好的框架,为了方便快捷,很快的就搭建起项目,自己写的代码不到 20%,过多的用第三方依赖或者插件,一方面会影响性能问题,另一方面第三方的依赖或者插件存在很多安全问题,也会存在这样那样的漏洞,所以使用起来得谨慎。只允许用户输入我们期望的数据。
Web前端开发工程师需要掌握的核心技能
09-22
主要为大家分享了了Web前端开发工程师需要掌握的核心技能,在W3C标准的结构、行为和表现我们需要掌握什么样的核心技能,本文为大家揭晓,感兴趣的小伙伴们可以参考一下
Web前端开发的现状和未来
07-22
资源名称:Web前端开发的现状和未来内容简介:主题大纲前端的发展和现状行业内前端的位置前端的实际工作面临的问题未来的机遇建议的修炼之路行业内前端的位置前端很Cool?标签语义化、css布局、浏览器兼容、css sprite、网格布局、web标准、结构样式与分为分离、seo、ajax、dhtml、jQuery、YUI、模块化、web2.0、html5、css3 。。。页面仔?(为什么会被别人看不起, 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
浅谈前端安全
weixin_43675915的博客
06-10 6341
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端常见安全问题
m0_44973790的博客
04-22 7225
文章目录 一、常见安全问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、H
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 726
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
前端安全常见攻击方式及防御方法
最新发布
Innocence_0的博客
01-02 986
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
前端(十七)——Web应用的安全性研究
杜永康的博客
09-06 890
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
web前端开发注册的HTML5常见问题
01-08
在对HTML5标记进行了快速介绍之后,您可能会想到很多问题。以下是一些可能答案的一些答案。 为什么这些更改在旧版浏览器仍然有效? 为了理解为什么这不是问题,我们可以将HTML5与CSS3添加的一些新功能进行比较,我们将在后面的章节进行讨论。 在CSS,当添加了新功能(例如,border-radius将圆角添加到元素的属性)时,该功能也必须添加到浏览器的渲染引擎,因此较旧的浏览器将无法识别它。如果用户在不支持的浏览器上查看页面border-radius,则圆角将显示为正方形。发生这种情况是因为默认情况下是四角,浏览器将忽略该border-radius声明。其他CSS3功能的行为类似,导
WEB前端开发人员须知的常见浏览器兼容问题及解决技巧
01-08
所谓的浏览器兼容性问题,是指因为不同的浏览器对同一段代码有不同的解析,造成页面显示效果不统一的情况。在大多数情况下,我们的需求是,无论用户用什么浏览器来查看我们的网站或者登陆我们的系统,都应该是统一的显示效果。所以浏览器的兼容性问题前端开发人员经常会碰到和必须要解决的问题。 在学习浏览器兼容性之前,我想把前端开发人员划分为两类: 第一类是精确按照设计图开发的前端开发人员,可以说是精确到1px的,他们很容易就会发现设计图的不足,并且在很少的情况下会碰到浏览器的兼容性问题,而这些问题往往都是浏览器的bug,并且他们制作的页面后期易维护,代码重用问题少,可以说是比较牢固放心的代码。(如,谷歌和火狐
前端安全汇总(持续更新)
Innocence_0的博客
02-15 333
前端安全汇总(持续更新)
8大前端安全问题
面向对象的夜猫子
11-02 696
当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当安全问题则算是“前端安全问题”。比如说,SQL注入漏洞发生在后端应用,是后端安全问题跨站脚本攻击(XSS)则是前端安全问题
前端安全问题及解决方案
似水流年QC的博客
06-29 1030
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题
前端常见安全问题
laihongfeng的博客
03-07 7614
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
浅谈前端安全以及防御措施
m0_59598029的博客
02-09 541
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。今天我们就来说说一些常见攻击方法以及相应的防御措施。希望看完本文大家能对前端安全有更深一层的了解。
前端所有安全问题总结
qq_38713274的博客
04-04 2453
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
前端开发防范攻击方法有哪些
03-23
前端开发防范攻击的方法有以下几种: 1. 输入验证:对用户输入的数据进行验证,防止恶意代码注入。 2. 输出编码:对输出到页面的数据进行编码,防止 XSS 攻击。 3. HTTPS:使用 HTTPS 协议传输数据,防止数据被窃取或篡改。 4. CSP:使用 Content Security Policy,限制页面加载的资源,防止恶意代码的注入。 5. CORS:使用 Cross-Origin Resource Sharing,限制跨域请求,防止 CSRF 攻击。 6. Cookie 安全:设置 HttpOnly 和 Secure 属性,防止 Cookie 被窃取或篡改。 7. 防止点击劫持:使用 X-Frame-Options,限制页面在 iframe 的使用,防止点击劫持攻击。 8. 防止重放攻击:使用随机数或时间戳,防止攻击者重复提交请求。 以上是前端开发防范攻击的一些方法,但并不是全部,开发者还需要根据具体情况进行综合考虑和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邹荣乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值