前端安全(http)

最新推荐文章于 2024-09-11 09:32:29 发布
最新推荐文章于 2024-09-11 09:32:29 发布
阅读量387 收藏
点赞数
分类专栏: 前端安全 文章标签: 前端 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yogamiller/article/details/126910256
版权

前端安全

XSS 攻击

cross site script 跨站脚本攻击

会导致: 会话劫持, 钓鱼, 信息泄露 , 不会导致拒绝服务

  1. 可能引起: setTimeout , new Function, eval ,encodeURI(不会)
  2. 防止: cookie 设置httpOnly 严格的输入校验

CSRF 防范

CSRF (Cross-site request forgery)攻击,中文名是跨站请求伪造。引导你点击他们的网站, 然后用你的身份做坏事

  1. 验证referer, 也就是验证请求源
  2. CSRF token => JWT ( json web token ) 服务端生成和校验但不存储
  3. 自定义头信息
  4. 合理的session超时时间
  5. 受理重要请求, 要求客户端提供用户口令/动态密码/验证码
  6. 严格的输入校验和请求鉴权不能防范CSRF
JWT放入HTTP Header 中的 Authorization

输入不检验可能引发

  1. sql 注入
  2. 命令注入
  3. xss
  4. csrf(不会)

a 标签的 

<a rel="noopener noreferrer"></a> 
能防钓鱼攻击,避免referrer泄露
window.opener = null  
但不能防会话劫持

window 跳转 和 a 标签跳转

window.location.href = '//bilibili.com' 前面不用加协议
img 的src 貌似在项目中也可以这样 
<a href=""></a> // 这个貌似不行

Dos 拒绝服务

手绘 10 张图,把 CSRF 跨域攻击、JWT 跨域认证说得明明白白的

JSON

  1. JSON.parse()报错.
ftp telnet 管道消息 共享内存 socket PRC
YogaMiller
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web前端安全
11-07
Web前端安全是一个复杂的领域,它主要关注的是在Web开发过程中可能出现的安全漏洞以及如何避免这些问题。接下来,我会详细解释与前端安全相关的一些核心概念和知识点。 首先,我们需要了解什么是跨站脚本攻击(XSS...
HTTP协议下的前端安全探讨.pdf
01-01
"HTTP协议下的前端安全探讨" 1. HTTP 协议下的前端安全探讨:本文探讨了 HTTP 协议下的前端安全问题,并讨论了使用 JavaScript 加密来保护用户数据的安全。 2. 加密与哈希的区别:加密和哈希是两个不同的概念,...
前端如何防止黑客通过代码劫持跳转链接
s_unny_wang的博客
05-12 457
前端如何防止黑客通过代码劫持跳转链接
前端常见网络攻防问题
abuanden的博客
03-25 801
前端常见安全问题的十个方面: iframe opener CSRF(跨站请求伪造) XSS(跨站脚本攻击) ClickJacking(点击劫持) HSTS(HTTP严格传输安全) CND劫持 HTTPS中间人攻击 SQL注入 Dos服务拒绝攻击 一、iframe 1. 如何让自己的网站不被其他网站的 iframe 引用? // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.
a标签rel=”noopener noreferrer”属性的作用详解
热门推荐
CamilleZJ的博客
09-15 1万+
<a href="https://www.xinshouzhanzhang.com/" target="_blank">跳转到一个新页面</a> 没有rel=“noopener noreferrer”的情况下使用target=“_blank”是有安全风险,超链接a标签的rel="noopener noreferrer"属性是一种新特性,它能让网站更安全,超链接添加rel="noopener noreferrer"来防止钓鱼网站,因为它获取的window.opener的值为null.
noopener、noreferrer使用
判断一个点是否在闭合曲线内
01-11 1039
noopener a标签的**target="_blank"**时,会打开一个新的页面,此时新的窗口的window对象上有一个opener属性,新的页面获得了前一个页面控制权,就会出现安全问题,noopener就可以解决这个问题,设置后,新页面的window.opener就为null了, noreferrer noreferrer不久可以把window.opener设置为 null,还禁止...
前端安全面试题
weixin_51140082的博客
03-19 6831
什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可以获取用户的敏感信息,如Cookie,SessionID等,进而危害数据安全。为了和CSS区分,这里把代码的第一个字母改为X,于是叫做XSS ...
前端进阶】前端安全:从入门到实践
weixin_55846296的博客
06-27 1730
Web应用程序的广泛使用,使得Web安全变得越来越重要。随着Web技术的不断发展和Web应用程序的复杂性增加,越来越多的前端安全漏洞受到广泛关注。为了保护Web应用程序和用户数据,我们需要了解和掌握前端安全的知识和实践。在本文中,我们将介绍前端安全的基本概念,涉及到一些常见的前端安全问题以及如何保护Web应用程序和用户数据的方法。最后,我们将深入探讨前端安全的实践方案,以帮助您实现更安全的Web应用程序。在日益复杂和高风险的网络世界中,保护Web应用程序和用户数据至关重要。
前端安全-加密
lovepink527的博客
01-16 5116
1 密码安全 1.1 泄露渠道 数据库被盗 服务器被入侵 通讯被窃听 内部人员泄露 其他网站(撞库) 1.2 防御 严禁明文存储 单向变换 变换复杂度要求 密码复杂度要求 加盐(防止拆解) 1.3 哈希算法 明文-密文 一一对应 彩虹表记录明文密文一一对应表,容易破解 两次md5加密也容易破解 所以密码必须复杂 加盐 加盐可以使密码更加难破解 加盐+ 字符串 + 密码 雪崩效应 - 明文: 明文小幅度变化,密文加剧变化 密文: 明文无法反推 密文固定长度: md5 sha1 sha256
前端登录安全问题
sinat_36319434的博客
02-24 1289
对于前端开发来说安全问题很重要,我们不希望自己的密码之类的信息暴露出来被人获取。如果前端不加以限制,很多重要信息容易泄露。比如我们登录的时候,提交post,我们在浏览器控制台network的http请求中会直接看到密码。http协议是明文传输,只要别人一抓包就可以获取到传输的报文。 那为了让数据传输更安全,作为前端开发者的我们可以: 使用 https。HTTPS 协议是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完...
前端常见安全问题
NJR10byh的博客
02-27 4685
以下是对一些常见的前端安全问题的总结 一、iframe 1、防止自己的网站不被其他网站的 iframe 引用 // 检测当前网站是否被第三方iframe引用 // 若相等证明没有被第三方引用,若不等证明被第三方引用。当发现被引用时强制跳转百度。 if(top.location != self.location){ top.location.href = 'http://www.baidu.com' } 2、禁用被使用的 iframe 对当前网站某些操作 在HTML5中,iframe有了一个叫做sa
前端安全思考
iceggy的博客
01-14 2451
前端开发安全问题网上一搜,基本上就两个csrf和xss。整理了一下,发现很多开发细节中也存在安全问题。 1,xss攻击:跨站脚本攻击, 本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 分类:存储型(恶意代码存于数据库中后被读取拼接到html返回给前端),反射型(存于url中拼接html返回)及DOM型(打开带有恶意代码的url)。 规避:输入过滤,html转义,存储型和反射型采用纯前端渲染。csp(内容...
前端大厂最新面试题-前端安全.docx
06-06
前端大厂最新面试题-前端安全 本文档总结了前端安全的相关知识点,涵盖了XSS、CSRF、CSP等多方面的内容。下面是对标题和描述中所说的知识点的详细说明: 一、XSS(Cross-Site Scripting) * 定义:XSS是一种经常...
Vue2 中对数组进行操作时需要注意什么
m0_73882020的博客
09-06 607
在 Vue 2 中,对数组进行操作时,关键是确保操作能够被 Vue 的响应式系统检测到。使用 Vue 的响应式 API,如Vue.set或this.$set,可以确保数组的变化会被正确地反映到视图中。此外,避免直接修改数组的length属性或使用数组索引直接赋值,以确保视图的响应性。
基于Spring Boot构建一个点餐系统
嵌入式行业打工人,不定期更新博客。
09-08 999
这个示例提供了一个非常基础的框架,你可以在此基础上扩展更多的功能,如用户认证、购物车管理、支付接口等。在实际开发过程中,还需要考虑诸如错误处理、事务管理、日志记录等方面的问题。此外,确保所有的API调用都是安全的,并且正确处理用户的输入数据,防止SQL注入等安全风险。如有疑问和需求,可以私信联系我。
构建高效 Python Web API:RESTful 设计与 GraphQL 实践
最新发布
weixin_52392194的博客
09-11 965
在现代 Web 开发中,API 是前后端通信的核心枢纽,设计一个高效且易于扩展的 API 是保证系统良好运行的基础。本文详细探讨 RESTful API 的设计准则,如何生成 API 文档,GraphQL 的应用,以及如何在 FastAPI 和 Django REST Framework 中实现分页、过滤、认证等功能。
el-popover弹框自定义位置
weixin_47218354的博客
09-05 428
【代码】el-popover弹框自定义位置。
2024伊语IM即时通讯源码/im商城系统/纯源码IM通讯系统安卓+IOS前端纯原生源码
翎风世界
09-10 534
2.4 node安装wget "https://nodejs.org/dist/v12.18.3/node-v12.18.3-linux-x64.tar.xz"资料参考地址:https://www.1234f.com/sj/GitHub/qtym/20240910/677.html。源码下载地址:https://www.123pan.com/s/LA1bVv-5l5Vv。备用下载地址:http://pan.1234f.com:5212/s/5PrS4。api.xxx.com接口。im.xxx.com通讯。
【vite-plugin-vue-layouts】关于 vue-layouts 布局插件的使用和注意事项
weixin_41899098的博客
09-06 1093
环境:vue3 + vuetify3 + unplugin-vue-router是怎么创建这个项目的:选择它推荐的设置(Recommend)
Web前端安全深度解析:黑客攻防技术
"Web前端黑客技术揭秘" Web前端黑客技术是一门独特且重要的领域,它涉及到Web应用的安全性,特别是...通过阅读,读者不仅可以学习到前端安全的基本概念,还能了解到如何保护Web应用免受黑客攻击,提升网络安全意识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值