谈谈对前端安全的理解

最新推荐文章于 2023-02-17 12:15:00 发布
最新推荐文章于 2023-02-17 12:15:00 发布
阅读量158 收藏
点赞数
文章标签: 前端 javascript ViewUI
原文链接:https://yq.aliyun.com/articles/634587
版权
前端安全问题主要有XSS、CSRF攻击
XSS:跨站脚本攻击

它允许用户将恶意代码植入到提供给其他用户使用的页面中,可以简单的理解为一种javascript代码注入。

XSS的防御措施:

1.过滤转义输入输出

2.避免使用eval、new Function等执行字符串的方法,除非确定字符串和用户输入无关

3.使用cookie的httpOnly属性,加上了这个属性的cookie字段,js是无法进行读写的

4.使用innerHTML、document.write的时候,如果数据是用户输入的,那么需要对象关键字符进行过滤与转义

CSRF:跨站请求伪造

其实就是网站中的一些提交行为,被黑客利用,在你访问黑客的网站的时候进行操作,会被操作到其他网站上;

CSRF防御措施:

1.检测http referer是否是同域名

2.避免登录的session长时间存储在客户端中

3.关键请求使用验证码或者token机制

其他的一些攻击方法还有HTTP劫持、界面操作劫持

weixin_34166472
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全知多少
大转转FE
08-04 196
说到安全,大家脑海浮现的一定是这种场景。他们噼噼啪啪敲几行代码,就能控制对方电脑于千里之外,酷到没朋友。但这些似乎离前端还挺远的。常常听到什么SQL注入,缓冲区溢出,DD...
简单谈谈前端安全的认知
扫地僧
04-18 558
XSS 全称是跨站脚本攻击 分为三种 反射型 存储型 DOM-based 攻击手段 修改HTML节点----反射型 执行JS代码----存储型(破坏范围广) 阻止攻击手段 转义输入输出 黑白名单过滤,更推荐使用白名单过滤 escape函数也可以转义输入输出,但是会破坏所需要的格式,使用js-xss来实现 CSP 内容安全策略 是一个额外的安全层 用于检测并削弱某些特定类型的...
是个前端都应该了解的web安全知识(附一些较新的防范方法)
qq_40819935的博客
07-02 656
前言 对于很多刚开始工作的前端而言,web安全似乎是一个说不清道不明的东西。关于web安全,认真学习总结一下,其实就会发现它不难。本文通过面试提问的形式来一一进行总结,希望对于各位小伙伴理解web安全有所帮助。 1.前端有哪些攻击方式? 目前常见的web攻击方式主要分为:XSS攻击、CSRF攻击、点击劫持。 2.什么是XSS攻击?XSS攻击有哪几种类型?如何防范XSS攻击? 2.1 什么是XSS攻击? XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者..
浅谈前端安全
m0_59598029的博客
02-09 90
XSS 攻击是指攻击者在网站上注入恶意的客户端代码,利用恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交网站上。4.A站点接收请求后会对其进行验证,而且会误认为是被攻击者发起的请求,同时以被攻击者的身份执行相应的操作。属性加载的资源,浏览器限制了JavaScript的权限,使其不能读、写返回的内容。读取或设置某些属性。
尚硅谷_前端_面试题
08-01
### 尚硅谷_前端_面试题 #### 一、HTML+CSS 1. **Doctype作用?标准模式与兼容模式各有什么区别?** - **Doctype**:文档类型声明,用于告诉浏览器文档使用哪种HTML或XHTML规范。正确地使用DOCTYPE很重要,因为它...
PHP.zip_php后台_thinkPHP rbac_前端框架
09-19
而RBAC(Role-Based Access Control)权限管理模型则为前端框架提供了安全、高效的用户权限控制。本文将深入探讨如何利用"PHP.zip"中的资源,打造一个集成了ThinkPHP RBAC和前端框架的网页应用。 首先,让我们关注...
初识前端后端UI交互,初学者必看
08-25
综上所述,理解前端与后端的区别、UI交互的重要性,以及它们在实际开发中的应用,对于任何想要踏入Web开发领域的初学者都是基础且必要的。通过深入学习这些知识,并结合"Web开发之1234"这样的学习资源,你可以逐步...
祝福贺卡小程序 4.7.4 小程序前端+后端.zip
12-12
后端还需要确保安全性,例如通过令牌验证(JWT)来保护用户信息的安全。 压缩包中的"云客社区www.u8wx.com.jpg"可能是对开发资源或社区支持的引用,可能是一个论坛或者开发者交流平台的标志,开发者可以在这里获取...
前端安全性问题
田京京京京京京京的博客
12-10 1548
今天不知道怎么突然想起来前端安全性问题,之前遇到过这样的笔试题,了解过,但是感觉没明白,又忘记了,所以今天来做一个总结。 SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 防护措施:前端页面要校验用户的输入数据,后端不要使用动态SQL语句,不要直接存放机密数据。(严格说,sql注入属于后端的安全问题) XXS跨站脚本分析:
常说的前端安全是什么
m0_49016709的博客
07-03 502
本文将讲述前端的九种安全问题,是平常比较常见的安全问题,当然如果还有其他必要重要的安全问题大家可以帮忙补充: 一、XSS(Cross-Site Scripting)脚本攻击漏洞; XSS这类安全问题发生的本质原因在于:浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。用户写一些恶意的js代码,来执行一些可以的行为,盗取Cookie信息、会话攻击、、修改Web页面以欺骗用户。 解决方案: 1.输入过滤:对数据进行严格的输出编码,使得攻击者提供的数据不再被浏览器认为是脚本而被误执行。例
关于前端安全
混世小妲己
08-11 603
一、xxs跨站攻击 ( 在浏览器加载非法脚本) 反射型:指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。(cookie获取) 存储型:例如储存到数据库中,然后当我们再次访问相同页面时,将恶意脚本从数据库中取出并返回给浏览器执行。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的...
HTML5学习笔记-浅谈前端安全以及如何防范
weixin_30852419的博客
05-13 166
随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。首先前端攻击都有哪些形式,我们该如何防范?一、XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括...
关于前端性能优化的小想法
换了马甲的小强的博客
02-24 271
前端性能优化,非常重要的一个关键词是“首屏”,有争议的两种方式: 1. “首屏”定义为HTML结构出来,那么对应的就是”DOM树构建完成(DOMContentLoaded)”; 2. “首屏”定义为HTML结构出来并已经填充上数据,但是操作没有初始化:这么就可以认为我们必须减少DOMload的整个过程;二、DOM文档加载过程 1. 解析HTML结构。 2. 加载外部脚本和样式表文件。 3.
浅谈前端安全以及防御措施
bluemoon_0的博客
02-17 894
浅谈前端安全以及防御措施
浅谈前端安全以及如何防范?
热门推荐
liuyingv8的博客
05-10 1万+
随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。  首先前端攻击都有哪些形式,我们该如何防范?  一、XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括H...
[聊一聊系列]聊一聊WEB前端安全那些事儿
weixin_33963189的博客
08-22 542
欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码):https://segmentfault.com/blog... 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊W...
认识前端安全
WilsonLiu's Blog
08-16 3070
前端安全一直是一个蛮严苛的问题,特别如果设计到money更是如此。 了解前端安全,在平时的coding中主动考虑,防范于未然,是一个有追求的程序猿应该做的。未登录我们从弱弱的基本开始,第一步当然是登录鉴权了,如果一个需要用户身份鉴权的应用系统没有登录过滤那简直是没法想像的,方案基本都是用户输入用户名 密码、或是三方 openID 授权后在 session 里保存用户此次登录的凭证来确保每次请求的
谈谈你对前端安全理解以及在项目中如何保护前端安全
最新发布
07-14
以下是我对前端安全的一些理解以及在项目中保护前端安全性的一些方法: 1. 输入验证和过滤:对于用户输入的数据,进行合法性验证和过滤,防止恶意脚本注入。使用合适的输入验证库或框架来处理用户输入。 2. 防止跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值