WEB前端安全编码规范评审

1. 防范XSS漏洞

1.1 漏洞描述

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

1.2 安全风险

获取用户cookie、钓鱼、获取用户页面数据、蠕虫、挂马。

2. 防范SQL注入漏洞

2.1 漏洞描述

所谓SQL注入，就是通过将构造的SQL命令插入到Web表单或URL参数后面进行提交，最终达到欺骗服务器执行恶意的SQL命令的目的。

2.2 安全风险

数据库资料被窃取、修改或者删除，服务器被攻击者控制。

3. 防范CSRF漏洞

3.1 漏洞描述

CSRF是伪造客户端请求的一种攻击，CSRF的英文全称是Cross Site Request Forgery，字面上的意思是跨站点伪造请求。CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。

3.2 安全风险

伪造用户请求、修改用户参数、xss蠕虫。

4. 防范表单数据篡改漏洞

4.1 漏洞描述

       很多开发工程师喜欢使用form表单中的hidden域传递参数，这些参数中不乏金额、账号等关键数据，而这些数据是可以在客户端修改之后，再提交服务器的。因此，导致了表单数据被篡改。

 

4.2 安全风险

       这些被篡改的数据一旦在后台也没有验证的话，直接导致交易数据被篡改。

5. 防范HTTPS页面安全警告问题

5.1 问题描述

       在使用https作为传输协议的页面，如果引入了http协议传输的元素，如：script、img、iframe、frame、frameset、link等，某些浏览器会弹出安全警告。

5.2 安全风险

       在注重安全的网站，如果客户浏览器弹出非安全的警告，会影响用户对该网站安全性的信心。同时用户如果点击“否”，会导致页面功能显示不完全，影响用户使用。

6. 防范页面跳转漏洞

6.1 漏洞描述

       有些功能需要通过一个链接直接跳转到另外的页面，这个页面有可能是站内的，也有可能是站外的，而跳转的页面地址直接在这个链接中传递，比如说，需要通过https://www.51.com/index.htm?goto=http://www.xxx.com这样一个链接跳转到商户网站www.xxx.com。但goto后面的跳转地址没有做限制，通过修改goto后面的参数，可以跳转到任意网站。

6.2 安全风险

攻击者通过恶意构造跳转的链接，可以向受害者发起钓鱼攻击。 

7. 防范上传漏洞

7.1 漏洞描述

如果页面有上传功能，而后台对上传文件的类型控制不严格，会导致攻击者能够上传恶意文件到网站服务器。

7.2 安全风险

攻击者可以利用上传漏洞，上传恶意文件到服务器，并且远程执行，达到控制网站服务器的目的。