常见前端安全问题以及防御措施

最新推荐文章于 2024-08-20 10:15:00 发布
最新推荐文章于 2024-08-20 10:15:00 发布
阅读量840 收藏
点赞数
分类专栏: 前端 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45836027/article/details/125096605
版权

XSS ( cross-site-scripting ),跨站脚本攻击;注入恶意代码到网页,并使用户加载执行,目的可能是获取当前用户的在这个网站的cookie,从而拿到用户的敏感信息;

分为非持久性攻击和持久性攻击;

非持久性攻击:即时性,恶意代码不需要存在数据库中去;每次设置都可能触发一次xss攻击;

场景:

恶意代码一
http://abcd.com?q=<script>alert(document.cookie)</script> // 不成功,因为浏览器已经对script等一些危险标签的插入做了拦截过滤

恶意代码二
http://abcd.com?q=<img src="" onerror="alert(document.cookie)" />  // 成功获取cookie

把src设置为空,这样就会触发onerror事件,弹出cookie;

持久性:将恶意代码存入数据库中;

XSS防御措施

使用html转义;对所有外部插入的代码做一次转义,将script等危险标签做过滤和转义替换,同时尽量避免会用innerHtml、documnet.write、outerHtml等,而是使用安全性更高的textContent等;

开启CSP防护,在http响应头中设置content-security-policy属性:

当属性值设置为script-src ‘self’

Content-Security-Policy:script-src ‘self’

不允许内联脚本加载执行,禁止加载外域代码,禁止外域提交;

CSRF(cross-site request forgery),跨站请求伪造

流程:

用户登录目标网站a;

用户以某种方式接触到恶意网站b的链接;

用户点击链接访问网站b,网站b中的js代码执行,偷偷向目标网站b发送某个请求;

由于用户登录过网站a,因此请求携带了网站a的相关cookie’凭证,最后请求执行;

场景:

<img src="A.com/delete" style="visibility:hidden"/>

假如b网站有这么一段代码,就会删除用户在a网站的数据;

CSRF防御措施

1.设置cookie的SameSite属性;

设置方法:

Set-cookie:widget_session=abc123;SameSite=None;Secure

除了设置值以外,还要设置SameSite属性;

有3个属性值:

strict:跨站点时,任何情况都不会发送cookie,只有当前网页的url与请求目标一致时,才会带上cookie;

lax:大多数情况下额不发送第三方cookie;

None:表示关闭samesite属性;

2.csrf token

服务端算法生成token,返回给前端,前端保存在localstrorage或者sessionstrorage中,会后每次发送请求都会带上这个token,而第三方网站没有办法获取token,因此服务器可以识别是否为第三方的请求;

3.手机验证码、邮箱验证,进行二次验证;

王哪儿跑啊
关注
专栏目录
前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击与 CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 344
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
前端安全问题和解决防范
MichelleZhai的博客
05-15 1059
文章目录一、常见安全问题二、XXS攻击(Cross Site Scripting)(跨站脚本攻击)三、CSRF安全漏洞(跨站请求伪造)四、SQL注入五、文件上传漏洞六、OS命令注入攻击 一、常见安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全问题; 6、HTTPS加密传输数据; 7、SQL注入 8、文件上传漏洞
前端所有安全问题总结
qq_38713274的博客
04-04 2905
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
前端安全性的理解,包括哪些常见安全问题和防范措施
最新发布
Dingdangr的博客
08-20 688
前端安全性的理解,涉及到多个方面,主要包括识别并防范那些可能威胁到用户数据安全、隐私安全以及网站或应用稳定性的安全问题。以下将详细阐述前端常见安全问题及其防范措施,旨在提供一个全面且深入的理解。
前端常见安全问题及防范措施
热门推荐
m0_56069948的博客
02-23 1万+
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 前言 随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见安全问题
前端常见安全问题攻击和防御概述
jyn15159的博客
02-06 220
前端安全问题 前端安全问题防御,及前端常见安全问题的攻击原理。 xss跨站脚本攻击 Cross Site Scripting 如何进行:XSS跨站脚本攻击是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 主要原理:过于信任客户端提交的数据! 防御手段:不信任任何客户端提交的数据,只要是客户端提交的数据就应该先进行相应
前端安全问题以及防御措施
javagty6778的博客
03-07 450
整理一下前端开发过程中经常遇到的安全问题
浅谈前端安全以及防御措施
bluemoon_0的博客
02-17 932
浅谈前端安全以及防御措施
常见前端安全漏洞和防御措施
你好!我是派大星,一个热爱分享的个人博客作者。我的博客致力于分享关于前端开发的知识、见解和经验。通过我的文章,实用技巧和个人心得。无论是解决问题、获取新知识,还是激发创造力和热情,我的目标是为读者提供有价值的内容和启发思考的观点。
08-30 331
XSS(跨站脚本攻击):攻击者通过在网页中插入恶意脚本,当用户访问该网页时,脚本会在用户的浏览器中执行,从而获取用户的敏感信息或执行其他恶意操作。例如,攻击者在网页的评论部分插入恶意脚本,当其他用户查看该评论时,脚本会在他们的浏览器中执行,攻击者可以通过脚本获取用户的Cookie或其他敏感信息。例如,攻击者在电子邮件中发送一个链接,当用户点击该链接时,会以用户的身份向攻击者的网站发送一个请求,从而执行攻击者指定的操作。越权访问:攻击者通过利用前端代码中的漏洞,以未授权的身份访问敏感数据或执行未授权的操作。
常见前端安全问题概述
bluemoon_0的博客
01-17 430
常见前端安全问题概述
简单了解:Web前端攻击方式及防御措施
b741759587的博客
09-04 224
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS(反射型攻击:非持久型,多出现于搜索页面) 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。W...
前端常见的攻击方式及预防方法
weixin_33782386的博客
01-07 560
https://www.jianshu.com/p/a5ff8a23b423 转载于:https://www.cnblogs.com/botoo/p/10234544.html
104、前端5种安全问题及防范
sunnnnh的博客
08-26 3630
1.CSRF(跨站请求伪造) (1)什么是CSRF 你可以这么理解 CSRF 攻击:攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。总结起来就是:个人隐私暴露及财产安全问题。 /* * 阐述 CSRF 攻击思想:(核心2和3) * 1、浏览并登录信任网站(举例:淘宝) * 2、登录成功后在浏览器产生信息存储(举例:cookie) * 3、用户在没有登出淘宝的情况下,访问危险网站 * 4、危险网站中存在..
前端安全问题及防范
crazy_jialin的博客
11-16 3050
XSS攻击 XSS(Cross-Site Scripting,跨站脚本),是比较常见安全漏洞问题,其主要的攻击方式是通过表单或者页面url参数来注入一些可执行的代码,页面中用到这些字段的地方,如果没有经过处理,就会把他们当做代码来执行,从而造成安全事故。 根据攻击的影响范围,我们可以分为三类:DOM型、反射型、存储型,下面分别介绍这三种攻击方式。 DOM型 DOM型攻击指的是在前端页面中,直接通过url解析参数的攻击方式,不经过后台接口处理。用node起了一个web服务,用来测试,源码地址: https:
前端安全防御
weixin_43298398的博客
06-23 221
前端安全防御 XSS(cross site script) 跨站脚本攻击 分类 反射型 反射型相比于存储型危害就小的多了,一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。 再举个栗子,如果页面需要从 URL 中获取某些参数作为内容的话,不经过过滤就会导致攻击代码被执行。 <!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{{name}}</d
前端安全攻击与防御策略
qq_42259940的博客
03-14 849
跨站点伪造请求 csrf 什么事csrf?攻击者盗用合法用户身份,向服务器方发送请求,对于服务器来说是合法的,却又达到了攻击者所期望的目标。 完成一次csrf攻击需要完成以下两个步骤: 1.登录受信任网站A,并在本地生成cookie 2.在不登录网站A的情况下访问危险网站B csrf防御策略 1.验证HTTP Referer字段 HTTP的referer字段保存了http的来源地址,受访网站可以验...
前端安全防御手段:密码强化与HTTPS应用
网络安全-前端安全-防御手段的学习笔记主要涵盖了前端开发过程中确保用户数据安全的关键措施和策略。这个主题聚焦于保护敏感信息,防止数据泄露和未经授权的访问,主要包括以下几个关键知识点: 1. **密码安全**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值