前端的常见安全问题总结:
(上) http://www.ciotimes.com/InfoSecurity/139333.html
(下) http://www.ciotimes.com/InfoSecurity/139425.html
一 XSS跨站脚本攻击:
https://www.cnblogs.com/unclekeith/p/7750681.html
定义及分类:
预防及危害:
二 iframe带来的风险
iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚本、Flash插件、弹出对话框等等,这可能会破坏前端用户体验。
如果说iframe只是有可能会给用户体验带来影响,看似风险不大,那么如果iframe中的域名因为过期而被恶意攻击者抢注,或者第三方被黑客攻破,iframe中的内容被替换掉了,从而利用用户浏览器中的安全漏洞下载安装木马、恶意勒索软件等等,这问题可就大了。
如何防御:
sandbox的安全属性,通过它可以对iframe的行为进行各种限制,充分实现“最小权限“原则。
sandbox也提供了丰富的配置参数,我们可以进行较为细粒度的控制。一些典型的参数如下:
· allow-forms:允许iframe中提交form表单
· allow-popups:允许iframe中弹出新的窗口或者标签页(例如,window.open(),showModalDialog(),target=”_blank”等等)
· allow-scripts:允许iframe中执行JavaScript
· allow-same-origin:允许iframe中的网页开启同源策略
三. 静态资源完整性校验
https://blog.csdn.net/zhang8907xiaoyue/article/details/78610958
检验静态资源的完整性,防止CDN被劫持带来的XSS攻击
四. crsf攻击与防御