前端安全
文章平均质量分 76
前端同学
学习为主,兴趣为辅,致力于向前端更深层次发展。
展开
-
前端内容安全策略(csp)
什么是CSPCSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源)。csp是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段通过CSP协定,让WEB处于一个安全的运行环境中。原创 2022-02-09 10:10:28 · 3121 阅读 · 0 评论 -
web安全:防止浏览器记住或自动填写用户名和密码(表单)的最简单终极解决方案
背景最近项目上有一个功能是忘记密码的,里面有手机号码,验证码,登录密码这几个选项,然后手机密码又不是登录账号,然后密码用的是el input 里面的type = “password”,导致了修改密码成功之后,验证码还有密码会被谷歌浏览器自动保存在网上搜了一圈,发现都是不完美的,不兼容全部的浏览器,于是只能自己摸索了,解决方案其实方案很简单,只需要在修改成功后,then里面 获取到input的节点属性,然后把他的value设为“”即可代码如下<el-input v-model="form.原创 2021-06-24 11:51:35 · 1204 阅读 · 0 评论 -
前端安全之XSS,CSRF,网络劫持
XSS(跨站脚本攻击)存储型 XSS攻击者将恶意代码提交到目标网站的数据库中,这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等反射型 XSS攻击者构造出特殊的 URL,其中包含恶意代码,这种攻击常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击DOM 型 XSSDOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前原创 2021-05-06 14:22:12 · 464 阅读 · 1 评论 -
target=“_blank“有啥安全性问题?如何防范?
问题在调用window下的open方法创建一个新窗口的同时,可以获得一个创建窗口的opener句柄,通过target="_blank"点开的窗口活着标签页,子窗口也能捕获opener句柄,通过这个句柄,子窗口可以访问到父窗口的一些属性,虽然很有限,但是却可以修改父窗口的页面地址,让父窗口显示指定的页面。防范如果需要限制window.opener的访问行为,我们只需要在原始页面每个使用了target="_blank"的链接中加上一个rel="noopener"属性。但是,火狐并不支持这个属性值,火狐原创 2020-11-05 10:26:11 · 620 阅读 · 0 评论