简单谈谈前端对安全的认知

最新推荐文章于 2023-06-23 19:44:19 发布
最新推荐文章于 2023-06-23 19:44:19 发布
阅读量560 收藏 1
点赞数
分类专栏: 一锅乱炖 文章标签: 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42259266/article/details/89381178
版权

XSS

  • 全称是跨站脚本攻击
  • 分为三种
    • 反射型
    • 存储型
    • DOM-based
  • 攻击手段
    • 修改HTML节点----反射型
    • 执行JS代码----存储型(破坏范围广)
  • 阻止攻击手段
    • 转义输入输出
    • 黑白名单过滤,更推荐使用白名单过滤
    • escape函数也可以转义输入输出,但是会破坏所需要的格式,使用js-xss来实现

CSP

  • 内容安全策略
  • 是一个额外的安全层
  • 用于检测并削弱某些特定类型的攻击,比如跨站脚本攻击和数据注入攻击
  • 我们可以通过设置CSP来减少XSS的攻击,其本质上也是建立一个白名单,规定浏览器只能够执行来自特定来源的代码
    • 只允许加载本站资源

      Content-Security-Policy: default-src ‘self’

    • 只允许加载HTTPS协议类型的图片

      Content-Security-Policy: img-src https://*

    • 允许加载任何来源的框架

      Content-Security-Policy: child-src ‘none’

    • 更多属性查看这里

CSRF

  • 跨站请求伪造
  • 通过被称为csrf或者xsrf
  • 是一种挟制用户在当前已经登录的web应用程序上执行非本意的恶意的操作方法
  • xss利用的是用户对网站的信任,csrf利用的是网站对用户网页浏览器的信任
  • 简单的说,csrf就是利用用户的登录状态执行恶意的操作
  • 攻击手段
    • 假设网站中有一个通过 Get 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站中加入一个图片,图片的地址就是评论接口

      <img src="http://www.domain.com/xxx?comment='attack'" />

    • 如果接口是 Post 提交的,就相对麻烦点,需要用表单来提交接口 
      <form action="http://www.domain.com/xxx" id="CSRF" method="post">
	<input name="comment" value="attack" type="hidden" />
</form>
  • 如何防御
    1. Get请求不对数据进行修改
    2. 不让第三方网站拿到用户的cookie
    3. 阻止第三方网站请求接口
    4. 请求时附带验证信息,比如验证码或者token

SameSite
可以对 Cookie 设置 SameSite 属性。该属性设置 Cookie 不随着跨域请求发送,该属性可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容.
验证 Referer
对于需要防范 CSRF 的请求,我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。
Token
服务器下发一个随机 Token(算法不能复杂),每次发起请求时将 Token 携带上,服务器验证 Token 是否有效

密码安全

加盐

  • 对于密码存储来说,是肯定不能明文存储在数据库的,否则一旦数据库泄漏,用户的信息会受到很大程度上的破坏。
  • 不建议只对密码进行单纯的加密算法,因为存在彩虹表的关系。
  • 通常需要对密码进行加盐,在经过几次不同加密算法的加密 
    // 加盐也就是给原密码添加字符串,增加原密码长度
sha256(sha1(md5(salt + password + salt)))
  • 注意,密码加盐并不能阻止用户名被盗,只是在数据库发送泄漏时,确保用户的密码不会被暴露。
  • 一旦攻击者得到了用户的账号,可以通过暴力破解的方式破解密码。对于这种情况,通常使用验证码增加延时或者限制尝试次数的方式。并且一旦用户输入了错误的密码,也不能直接提示用户输错密码,而应该提示账号或密码错误。
最帅扫地僧
关注
专栏目录
认识前端安全
WilsonLiu's Blog
08-16 3080
前端安全一直是一个蛮严苛的问题,特别如果设计到money更是如此。 了解前端安全,在平时的coding中主动考虑,防范于未然,是一个有追求的程序猿应该做的。未登录我们从弱弱的基本开始,第一步当然是登录鉴权了,如果一个需要用户身份鉴权的应用系统没有登录过滤那简直是没法想像的,方案基本都是用户输入用户名 密码、或是三方 openID 授权后在 session 里保存用户此次登录的凭证来确保每次请求的
浅谈前端安全
weixin_43675915的博客
06-10 6858
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
谈谈前端安全的理解
weixin_34166472的博客
06-01 162
前端安全问题主要有XSS、CSRF攻击 XSS:跨站脚本攻击 它允许用户将恶意代码植入到提供给其他用户使用的页面中,可以简单的理解为一种javascript代码注入。 XSS的防御措施: 1.过滤转义输入输出 2.避免使用eval、new Function等执行字符串的方法,除非确定字符串和用户输入无关 3....
是个前端都应该了解的web安全知识(附一些较新的防范方法)
Innocence_0的博客
02-12 352
是个前端都应该了解的web安全知识(附一些较新的防范方法)
浅谈对前端开发的简单认识
webbeizi的博客
07-02 7155
学而不思则罔,从最简单,最基础的开始,也考验一下我的表达能力。 以下是个人的一点看法和观点,欢迎批评指正,及各种建议。谢谢。 目录: 1 我对前端开发的概念的理解 2 我对网页设计,ui ,前端开发的,理解 3 基本的技术知识 一、我对前端开发的概念的理解 1、前端: 在网络平台上,展示、传递信息给用户,或可以跟用户进行交流的界面。 百度百科是这样定义的:前端对于网站来说,通常是指网站的前台部分。 2、前端开发er: 开发 前端 页面的人。 通过各种技术手段,完成页面的重构,将信息美观的在各种浏览器/软件上
我对前端开发的简单认识
webbeizi的博客
07-03 2616
学而不思则罔,从最简单,最基础的开始,也考验一下我的表达能力。 以下是个人的一点看法和观点,欢迎批评指正,及各种建议。谢谢。 目录: 1 我对前端开发的概念的理解 2 我对网页设计,ui ,前端开发的,理解 3 基本的技术知识 一、我对前端开发的概念的理解 1、前端: 在网络平台上,展示、传递信息给用户,或可以跟用户进行交流的界面。 百度百科是这样定义的:前端对于网站来说,通常是指网站的前台部分。 2、前端开发er: 开发 前端 页面的人。 通过各种技术手段,完成页面的重构,将信息美观的在各种浏览器/软件上
前端开发的基本认识
chaonengwang的博客
05-29 1597
web前端是什么? 广义:前端是软件系统中直接和用户交互的部分(眼之所见皆为前端 电子产品上) 狭义:目前国内的前端总体而言是完成基于浏览器用户界面设计和开发,主要工作有PC网站开发,移动端网站开发,webapp开发,在线游戏开发,本地软件开发 浏览器与搜索引擎的区别 浏览器 :软件 应用 谷歌浏览器 qq 浏览器 360浏览器 火狐浏览器 搜索引擎:功能块 百度 谷歌 火狐 后端与前端的区别? 前端: 页面的展示 与 信息的收集 (输入账号密码)向后端通风报信 后端:拿到数据
谈谈你对前端安全的理解以及在项目中如何保护前端安全
最新发布
07-14
8. 安全培训和意识提高:对开发人员进行安全培训,提高他们对前端安全的认识和意识,以及如何编写安全前端代码。 以上只是一些常见的前端安全保护措施,具体的安全措施还需要根据具体项目的需求和情况来定制。在...
认识前端开发
m0_65382530的博客
06-23 3733
前端开发是指开发网络应用程序(通常基于 Web 或移动应用平台),利用 HTML、CSS 和 JavaScript 等技术来实现用户界面和用户交互,使得用户可以便捷地使用程序并获得交互反馈。前端开发主要关注的是软件的展示层,即用户能够看到和触摸到的部分。HTML是前端开发中最基本的语言,它用来描述文档结构和内容。CSS用于定义文档的样式和布局,使得文档展示更加美观、易读。JavaScript则是一种编程语言,常用于制作交互式的网站和应用程序,并增加软件的交互性和可用性。
前端安全思考
iceggy的博客
01-14 2453
前端开发安全问题网上一搜,基本上就两个csrf和xss。整理了一下,发现很多开发细节中也存在安全问题。 1,xss攻击:跨站脚本攻击, 本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 分类:存储型(恶意代码存于数据库中后被读取拼接到html返回给前端),反射型(存于url中拼接html返回)及DOM型(打开带有恶意代码的url)。 规避:输入过滤,html转义,存储型和反射型采用纯前端渲染。csp(内容...
前端安全性问题
田京京京京京京京的博客
12-10 1571
今天不知道怎么突然想起来前端安全性问题,之前遇到过这样的笔试题,了解过,但是感觉没明白,又忘记了,所以今天来做一个总结。 SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 防护措施:前端页面要校验用户的输入数据,后端不要使用动态SQL语句,不要直接存放机密数据。(严格说,sql注入属于后端的安全问题) XXS跨站脚本分析:
关于前端安全
混世小妲己
08-11 606
一、xxs跨站攻击 ( 在浏览器加载非法脚本) 反射型:指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。(cookie获取) 存储型:例如储存到数据库中,然后当我们再次访问相同页面时,将恶意脚本从数据库中取出并返回给浏览器执行。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的...
常说的前端安全是什么
m0_49016709的博客
07-03 510
本文将讲述前端的九种安全问题,是平常比较常见的安全问题,当然如果还有其他必要重要的安全问题大家可以帮忙补充: 一、XSS(Cross-Site Scripting)脚本攻击漏洞; XSS这类安全问题发生的本质原因在于:浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。用户写一些恶意的js代码,来执行一些可以的行为,盗取Cookie信息、会话攻击、、修改Web页面以欺骗用户。 解决方案: 1.输入过滤:对数据进行严格的输出编码,使得攻击者提供的数据不再被浏览器认为是脚本而被误执行。例
网络安全的几点认知
煜铭2011
10-05 1381
0x0 1 网络安全介绍 0x02 构建网络安全 1 定义安全区 2 设备安全 ① 物理安全 ②设备冗余 ③ 配置管理 ④ PIX防火墙安全 ⑤ 交换机安全 3 路由安全 4 局域网交换安全 5 网络地址转换安全
浅谈前端安全以及防御措施
bluemoon_0的博客
02-17 916
浅谈前端安全以及防御措施
浅谈前端安全以及如何防范?
热门推荐
liuyingv8的博客
05-10 1万+
随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。  首先前端攻击都有哪些形式,我们该如何防范?  一、XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括H...
[聊一聊系列]聊一聊WEB前端安全那些事儿
weixin_33963189的博客
08-22 546
欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码):https://segmentfault.com/blog... 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊W...
4年前端 谈谈你对前端的认识
05-31
作为一个 AI,我对前端的认识是:前端是指用 HTML、CSS 和 JavaScript 等技术制作网站的过程,它是构建 Web 应用程序的重要组成部分。前端开发涉及到网页的设计、布局、交互和功能的实现。随着互联网的发展,前端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值