yanner_的博客

八大前端安全问题： 1·老生常谈的XSS 2·警惕iframe带来的风险 3·别被点击劫持了 4·错误的内容推断 5·防火防盗防猪队友：不安全的第三方依赖包 6·用了HTTPS也可能掉坑里 7·本地存储数据泄露 8·缺失静态资源完整性校验一.老生常谈的XSS1.定义 XSS是跨站脚本攻击（Cross-Site Scripting）的简称,XSS这类安全问题发生的本质原因在...

1.iframe 有些时候我们的前端页面需要用到第三方提供的页面组件，通常会以iframe的方式引入。典型的例子是使用iframe在页面上添加第三方提供的广告、天气预报、社交分享插件等等。iframe在给我们的页面带来更多丰富的内容和能力的同时，也带来了不少的安全隐患。因为iframe中的内容是由第三方来提供的，默认情况下他们不受我们的控制，他们可以在iframe中运行JavaScirpt脚...

想象这样一个攻击场景：某网站允许用户在评论里上传图片，攻击者在上传图片的时候，看似提交的是个图片文件，实则是个含有JavaScript的脚本文件。该文件逃过了文件类型校验（这涉及到了恶意文件上传这个常见安全问题，但是由于和前端相关度不高因此暂不详细介绍），在服务器里存储了下来。接下来，受害者在访问这段评论的时候，浏览器会去请求这个伪装成图片的JavaScript脚本，而此时如果浏览器错误的推断了这...

1.不安全的第三方依赖包 现如今进行应用开发，就好比站在巨人的肩膀上写代码。据统计，一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等，而应用自身的代码其实只占了20%左右。无论是后端服务器应用还是前端应用开发，绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。这样做的好处显而易见，但是与此同时安全风险也在不断累积——应用使用了如此多的第三方代码，不论应用自己的代码的安全...

1.CSRF是什么？ CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。2.CSRF可以做什么？ 你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买...

1.如何理解SQL注入（攻击）？ SQL注入是一种将SQL代码添加到输入参数中，传递到服务器解析并执行的一种攻击手法。 SQL注入攻击是输入参数未经过滤，然后直接拼接到SQL语句当中解析，执行达到预想之外的一种行为，称之为SQL注入攻击。2.SQL注入是怎么产生的？ 1）WEB开发人员无法保证所有的输入都已经过滤 2）攻击者利用发送给SQL服务器的输入参数构造可执行的SQL代码（可加入...