前端面试--安全问题

最新推荐文章于 2024-03-19 00:10:41 发布
最新推荐文章于 2024-03-19 00:10:41 发布
阅读量387 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42439051/article/details/115771851
版权

安全

基本概念,攻击方式,防御措施

CSRF

跨域请求伪造

前提:用户登录A网站生成本地cookie并且不登出情况下访问B

防御

  1. token验证
    1. 服务器发送给客户端一个token
    2. 客户端提交的表单中带着这个token
    3. 如果这个 token 不合法,那么服务器拒绝这个请求。
  2. 隐藏令牌
    1. token 隐藏在 httphead头中。 同一
  3. refer验证
    1. Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。

XSS

跨域脚本攻击

原理

不需要你做登录认证,通过合法的操作,比如在url重输入,评论框输入,向你的页面注入脚本。

导致结果

盗用cookie

破坏页面结构,插入广告等恶意内容

D-doss攻击

攻击方式

1 反射型

xss出现在url中,作为输入提交到服务器端,服务器端解析后随响应一起传回去,最后浏览器解析执行xsss代码。

2 存储型

存储型XSS和反射型XSS的差别在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求时目标页面时不用再提交XSS代码

防范措施

1 编码:用户所有的输入都需要转义

2 过滤:

  • 移除用户输入的和事件相关的属性。如onerror可以自动触发攻击,还有onclick等。(总而言是,过滤掉一些不安全的内容)
  • 移除用户输入的Style节点、Script节点、Iframe节点。

区别

CSRF:需要用户先登录网站A,获取cookie

XSS:不需要登录

原理区别

CSRF一个是利用网站的漏洞,去请求a的api

XSS是网站A注入JS代码,然后执行JS代码,篡改A的内容

TroyeChen
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网页前端常见的攻击方式和预防攻击的方法
09-28
探讨网站前端开发的安全问题.
前端安全方面面试题
桃子阿桃
08-28 4891
1. 请简述XSS的原理 跨站脚本攻击, 用户的数据, 数据可能是文章或评论或浏览器访问时候的某个参数, 总之是来自用户的数据, 最后被当做脚本在页面中执行, 执行的地方可能在script标签或其他标签的属性或富文本中等等… 最根本的是本来是个数据被当成了脚本变成了程序 2. 请简述XSS的防御方法 两种思路: 不要让其变成程序, 这个数据变成程序的话不让它执行 浏览器内置了对反射型XSS的防御, 当它检测到有反射型xss的时候会进行拦截 对数据进行适当转义, 包括在正文中的转义, 属性中的转义, 脚本中
前端面试题】:网络安全
最新发布
Anislandwhale的博客
03-19 1039
HTTPS 中间人攻击是一种网络安全威胁,攻击者通过拦截客户端和服务器之间的通信,作为中间人处理双方的数据,从而窃取或篡改信息。这种攻击通常发生在攻击者能够控制或监听客户端和服务器之间的网络连接时,例如公共 Wi-Fi 等不安全网络环境。在 HTTPS 中间人攻击中,攻击者会拦截服务器向客户端发送的公钥,并用自己的伪造公钥替换它。当客户端使用伪造公钥加密数据并发送给服务器时,攻击者可以拦截并解密这些数据。同时,攻击者还可以用自己的私钥重新加密这些数据,并将其发送给服务器,使得服务器无法察觉异常。
面试之前端安全问题
weixin_45523839的博客
08-16 562
面试之前端安全问题三大安全问题(客户端)XSS 攻击CSRF 攻击点击劫持 三大安全问题(客户端) 一:XSS 攻击 二:CSRF 攻击 三:点击劫持 XSS 攻击 XSS 攻击的本质是将用户数据当成了 HTML 代码一部分来执行,从而混淆原本的语义,产生新的语义。 XSS 攻击方式有很多,所有和用户交互的地方,都有可能存在 XSS 攻击。 例如: 所有 input 框。 window.location。 window.name。 document.referrer。 document.cookie。 lo
前端面试——安全
路明凡的博客
08-13 707
CSRF 基本概念 CSRF,跨站请求伪造 攻击原理 1、网站存在接口漏洞 2、用户登录过该网站 防御措施 Token验证 Referer(页面来源)验证 隐藏令牌 XSS 基本概念 跨域脚本攻击是一种常见于web application中的计算机安全漏洞。 攻击原理 XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用...
你想学的黑客(攻击)技术全在这了,一篇打包带走!
MachineGunJoe666
07-30 1323
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接.
前端大厂最新面试题-前端安全.docx
06-06
前端大厂最新面试题-前端安全.docx
程序员面试宝典-前端-2023最新
02-23
程序员面试宝典-前端-2023最新版 包括“面试涉及范围”、“岗位技能要求” 从“素质考察”、“项目经验考察”、“技能考察”三个方面入手,题目由浅入深、前后关联、多数题目没有标准的答案,主要对技术深度挖掘及...
前端面试常见问题,大厂必备
03-08
一个包含各种前端面试题的文字文件,其中包括了HTML、CSS、JavaScript、jQuery以及其他相关的前端技术的面试题,以及前端开发的基础知识和方法。文件中还包含了关于面试者所需要掌握的其他技能的题目,以及一些关于...
前端面试、面试真题整理
10-09
前端面试 前端面试、面试真题整理,包含Html、Css、JavaScript、Vue、React、Node、算法、网络与安全、浏览器.zip
前端面试题(常问-概念篇)
01-08
http是超文本传输协议,信息是明文传输,https则是具有...2、前端世界的安全防护 跨站脚本攻击(XSS) 跨站脚本攻击其实说白了就是通过一些方式把JavaScript代码注入到用户的dom中并执行,从而实现一些盗取用户cookies
不只是 huohuo 的 前端安全 面试题
梅花寺
05-09 145
什么是 XSS 攻击? 简而言之,就是页面被注入了恶意代码。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 如何进行的 XSS 攻击? 有哪些地方可以被攻击呢? 用户输入片段
前端面试 安全相关篇
烊烊的博客
04-08 4888
1.XSS是怎样的攻击过程 XSS全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。 核心就是将可执行的前端脚本代码(通常是js)植入到网页中,简单来说,就是攻击者想让你的浏览器执行他的脚本代码 实现的方式有: ①反射型 攻击者将代码,作为请求参数放置URL中,诱导用户点击 用户点击后,后端没有检查过滤,就简单处理放入网页正文中返回给浏览器, 浏览器解析返回的网页 ②存储型 将攻击脚本存储入库,等后面进行查询的时候,再将攻击脚本渲染
前端面试题(五)安全
weixin_34112030的博客
12-03 288
XSS 跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。 XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网...
【面试必问】常见的前端安全问题&解决方式
wangluo12138的博客
03-14 385
我们不是要做一个能够解决问题的方案,而是要做一个能够 '漂亮地' 解决问题的方案
【知识总结】有关前端安全的面试题总结
椰卤工程师的个人博客
09-21 2191
你了解哪些前端安全相关的知识?或者名词? xss csrf https csp:内容安全策略,可以禁止加载外域代码,禁止外域交等等 hsts:强制客户端使用https与服务端建立连接 x-frame-options:控制当前页面是否可以被嵌入到iframe中 referrer-policy:控制referer的携带策略 能稍微详细的聊一下xss吗 cross-site scripting,跨站脚本,通常简称为xss。 说白了就是攻击者想尽一切办法将可执行代码注入到网页中,而恶意代码未经过过滤,与网站正
前端面试】07 安全问题:CSRF和XSS
微子细的博客
08-23 889
本文笔记基于「千古壹号」的GitHub项目:https://github.com/qianguyihao/web 文章目录1.考点2.解决方法2.1 CSRF 1.考点 CSRF XSS 不会太难,考察基本概念、攻击方式、防御措施 2.解决方法 2.1 CSRF 1.基本概念、缩写、全称? CSRF:Cross-site request forgery,跨站请求伪造 2.攻击原理 ...
前端面试常见的安全问题(面试必备)
ikkkp的博客
09-20 306
前端常见的安全问题(面试必备)
前端面试安全那些事(八)
qq_43238599的博客
05-14 159
最近在准备面试,感觉好些东西了解,但是了解的深度有限。自己就总结了几个模块,打算强化一下。如果你感觉我的文章对你有帮助,请点赞。如果感觉有哪些不足之处,可以留言。让我们一同进步,学习!!! 最后在说明一下,这个系列我会一直写下去。如果,你有什么好的方向,也可以出来。 XSS XSS,又叫跨站脚本攻击。 攻击方式 攻击者通过在页面输入JS脚本代码,恶意篡改客户端网页代码,从而在用户浏览网页的时候,获取用户数据,而达到自己想做的事情的目的。一般攻击者常干以下的事情: 获取被攻击者本地数据,比如cooki.
前端面试题怎么解决跨域问题
06-09
跨域问题是由浏览器的同源策略引起的,同源策略是一种安全机制,它限制了一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 解决跨域问题的常用方法有以下几种: 1. JSONP JSONP(JSON with Padding)是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值