前端安全问题汇总

已于 2024-08-10 16:58:09 修改
阅读量257 收藏 4
点赞数 7
分类专栏: 安全 文章标签: 安全 前端
于 2024-08-10 14:04:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39712991/article/details/141089775
版权

1、Nginx相关

1.1、升级Nginx版本

及时升级Nginx版本,新版本包含对旧版本的漏洞修复

1.2、版本号隐藏

版本号的显示也被扫描软件识为一种不安全的行为

2、具有不安全、不正确或缺少SameSite属性的Cookie

可以直接在Nginx下设置

location / {
    add_header Set-Cookie "Path=/; HttpOnly; SameSite=Strict";
}

3、加密会话(SSL)Cookie中缺少Secure属性

可以直接在Nginx下设置

location / {
    add_header Set-Cookie "Path=/; HttpOnly; SameSite=Strict; Secure";
}

4、跨站点脚本攻击

4.1、反射型

所谓反射,是指此种类型的注入脚本必须被包含在发往Web服务器的请求中,然后Web服务器以某种方式反射到用户浏览器执行。

一个简单例子

https://example.com/index.php?user=<script>恶意代码</script>

上述代码被攻击者加了恶意代码,当用户请求上述代码,服务器没有对用户输入进行充分的验证或转义,服务器可能会直接将这些代码插入到返回的HTML中

处理方式
  • 通过网关对输入进行转义;
  • 保证正确的响应Content-type;

对安全扫描软件来说,要保证过程和结果都不能有问题。即使携带恶意脚本的响应没有实际在页面被解析执行,但是如果接口响应Content-type此刻为html,这就满足了脚本可执行的基本条件,对于扫描软件来说,这就是有问题的case

4.2、存储型

注入的脚本永久存储在Web服务器上,如数据库、内存或文件系统中。只要注入脚本代码没有被清理,每次用户访问网页时都将加载恶意脚本。

这个最常见的就是富文本编辑器,富文本编辑器内携带了html元素,如果处理不当,很容易被攻击利用。当然解决方法比较简单,对于前端侧,可以直接利用类似sanitize-html这种内容处理库进行处理

5、“Content-Security-Policy”头中缺少“Script-Src”或“Default-src”策略或相应策略不安

此问题同“Content-Security-Policy”头缺失 一并处理。这个问题的处理要繁琐的多,先引用几个基本概念

内容安全策略

内容安全策略 (CSP) 对于保护应用程序免受各种安全威胁(例如跨站点脚本 (XSS)、点击劫持和其他代码注入攻击)至关重要。
通过使用 CSP,开发者可以指定哪些来源是允许的,例如内容来源、脚本、样式表、图片、字体、对象、媒体(音频、视频)、iframe 等等。

Nonce

一个 Nonce 是一个为一次性使用而创建的唯一随机字符串。它与 CSP 结合使用,可以选择性地允许某些内联脚本或样式执行,绕过严格的 CSP 指令。本修改主要涉及到Nonce的生成和配置。简单来说,Nonce为应用的各种资源生成了随机值,他们被加到脚本样式表的标签上,当值与响应头的Content-Security-Policy下配置的Nonce匹配的时候,浏览器才可加载此资源,否则阻止加载

使用Nonce可以以较为严格的方式解决此问题,算是推荐的做法

对于前端来说,Nonce的生成需要借助各种打包工具

打包工具Nonce生成Plugin
Webpackcsp-html-webpack-plugin
Vitevite-plugin-csp

下面以Webpack举例来详述配置步骤,Vite同理

安装依赖
配置Webpack
...
const HtmlWebpackPlugin = require('html-webpack-plugin')
const CspHtmlWebpackPlugin = require('csp-html-webpack-plugin')
...
const crypto = require('crypto')
const emotionalNonce = crypto.randomBytes(16).toString('base64')
const emotionalNonce1 = crypto.randomBytes(16).toString('base64')
const emotionalNonce3 = crypto.randomBytes(16).toString('base64')

const webpackConfig = merge(baseWebpackConfig, {
  plugins: [
    new HtmlWebpackPlugin(),
    new CspHtmlWebpackPlugin(
      {
        'base-uri': "'self'",
        'object-src': "'none'",
        'script-src': ["'self'", `'nonce-${emotionalNonce1}'`],
        'style-src': ["'self'", `'nonce-${emotionalNonce}'`, `'nonce-${emotionalNonce3}'`]
      },
      {
        enabled: true,
        hashingMethod: 'sha256',
        hashEnabled: {
          'script-src': true,
          'style-src': true,
          'default-src': true
        },
        nonceEnabled: {
          'script-src': true,
          'style-src': true,
          'default-src': true
        }
      }
    )
  ],
})

module.exports = webpackConfig
生产打包

配置完毕,开始打包。如果过程顺利,你会发现,页面的js脚本的引入,会增加一串nonce值。同时,HTML meta标签下也新增了Content-Security-Policy 头:

<meta http-equiv="Content-Security-Policy" content="base-uri 'self'; object-src 'none'; script-src http://192.168.1.1:8080  'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'sha256-xxxxxxxxxx=' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx'; style-src http://192.168.1.1:8080 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx=='">

这里单独解释下,按理来说,插件已经为我们设置了http-equiv,也就是浏览器在解析时,会把这部分视为头部进行对待

当浏览器加载包含 http-equiv 属性的 标签的 HTML 页面时,它会在解析该页面时读取 标签的内容,并将这些内容视为相应的 HTTP 头部

但对于安全检查软件来说,这是远远不够的,它把响应头Content-Security-Policy视为检查的一个case,因此,必须要设置Nginx,这也是这个安全问题的繁琐所在。

配置Nginx

index.html下生成的nonce取出,设置于Content-Security-Policy

location / {
    add_header Content-Security-Policy "Frame-ancestors 'none'; img-src 'self' data:;base-uri 'self'; object-src 'none'; default-src http://192.168.1.1:8080; script-src http://192.168.1.1:8080  'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'sha256-xxxxxxxxxx=' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx'; style-src http://192.168.1.1:8080 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==' 'nonce-xxxxxxxxxxxxxxxxxxxxxxx==';font-src http://192.168.1.1:8080 data:";
}
页面检查

初次配置完毕后,还有有很大概率页面无法访问或者安全检查不通过,有如下几个原因

  • Nginx在复制页面的Nonce导致两处不匹配;
  • 缺少其他的属性配置,如font-src 等;
参考

什么是跨站脚本攻击(XSS)

Next.js

ParanoidRoye
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全问题以及解决方案汇总
qq_40334370的博客
12-08 1501
前端常见的7个安全方面问题:1.iframe2.opener3.CSRF(跨站请求伪造)4.XSS(跨站脚本攻击)5.ClickJacking(点击劫持)6.HSTS(HTTP严格传输安全)7.CND劫持。
前端常见安全问题以及解决方案汇总
zhong_333的博客
01-24 2014
在处理前端安全问题时,我们意识到安全性是一个不断演进的过程。通过采取一系列措施,如设置安全头部、使用 HTTPS 加密传输、及时更新第三方依赖并引入安全监控,我们可以有效地降低潜在的安全风险。此外,数据脱敏和定期审查安全措施也对保障前端应用程序的安全性至关重要。综上所述,领会并实践这些前端安全原则,将有助于确保用户数据和系统的安全,为用户提供更可靠的在线体验。
前端安全大总结!
只想和你一起进步
04-05 682
前端安全大总结,详解讲解CSP防御、同源策略、XSS攻击、CSRF攻击、DOS攻击
前端安全汇总
sjslln的博客
08-20 123
前端安全
前端安全汇总(持续更新)
m0_59598029的博客
03-12 949
子资源完整性(SRI)是允许浏览器检查其获得的资源(例如从CDN获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。通过给link标签或者script标签增加integrity属性即可开启SRI功能.integrity值分成两个部分,第一部分指定哈希值的生成算法(sha256sha384及sha512),第二部分是经过base64编码的实际哈希值,两者之间通过一个短横()分割。integrity。
2024年前端面试题汇总
sun_qqq的博客
02-08 8万+
最近面试被打击的体无完肤,于是把面试题记录下来分享一下。vue真是必问框架,八股文该背的还是得背!
前端面试问题汇总 - 浏览器篇
qq_37750365的博客
04-13 539
前端面试常见问题汇总,浏览器篇主要针对浏览器相关的一些常见问题极其原理进行编辑汇总
前端知识汇总前端安全问题
qq_44810886的博客
06-24 567
前端安全问题学习笔记
前端面试问题汇总 - 其他问题
qq_37750365的博客
04-13 942
前端面试常见问题汇总。本篇主要收录一些较为细碎的问题
前端面试题汇总大全(含答案)-- 持续更新
热门推荐
张兴华的博客
08-07 18万+
汇总了一些前端常见的面试题。 一、HTML 篇 1. 简述一下你对 HTML 语义化的理解? 用正确的标签做正确的事情。 html 语义化让页面的内容结构化,结构更清晰,便于对浏览器、搜索引擎解析;即使在没有样式 CSS 情况下也以一种文档格式显示,并且是容易阅读的; 搜索引擎的爬虫也依赖于 HTML 标记来确定上下文和各个关键字的权重,利于 SEO; 使阅读源代码的人对网站更容易将网站...
解决前端跨域问题方案汇总
09-01
前端跨域问题是指浏览器实施的一种安全策略,即同源策略,它限制了来自不同源的“文档”或脚本相互交互。同源策略是为了防止恶意网站通过脚本获取其他网站的数据,从而保护用户的信息安全。同源策略的基本规则包括:...
WEB前端-案例汇总
11-08
通过这个“WEB前端-案例汇总”,学习者不仅可以全面了解前端开发的各个方面,还能通过实践提升解决问题的能力,为成为专业的前端开发者奠定坚实基础。无论是HTML5的新特性,还是前沿的前端框架,都能在这个资源包中...
前端面试题汇总大全以及面试的一些问题
03-16
7. **前端安全**:如XSS攻击、CSRF攻击、JSONP的安全问题等,面试时可能会要求候选人了解如何预防这些安全风险。 8. **响应式设计与移动优先**:随着移动设备的普及,面试官可能询问关于媒体查询、Flexbox或Grid...
WEB前端测试点汇总整理
03-29
【WEB前端测试点汇总整理】 在进行WEB前端测试时,我们需要关注多个方面,包括功能、性能和安全等关键要素,确保应用的稳定性和用户体验。以下是一些常见的测试点: 1. **输入框测试** - **字符型输入框**:测试...
域名安全详解
TechEnthusiast的博客
08-06 126
域名安全是网络安全的重要组成部分,涉及多个方面。
Java后端处理前端字符串与 JSON 数据:安全拼接与转义技巧
最新发布
服务员的博客
08-09 181
在 Spring Boot 中处理前端传递的字符串和 JSON 数据时,需要注意潜在的 JSON 特殊字符问题。我们可以通过手动转义或借助 Jackson 库来安全地拼接字符串和 JSON 数据,确保数据完整性和程序稳定性。希望本文能够帮助您更好地理解 Spring Boot 中字符串与 JSON 数据处理的相关技巧,并在实际项目中得心应手。
【CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复该漏洞(附批量漏洞检测工具及分析伪代码)
m0_62783065的博客
08-09 3777
【CVE-2024-38077】核弹级RCE漏洞如何自检并修复该漏洞(附原文内分析伪代码)
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 418
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 1088
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值