浅谈前端安全

最新推荐文章于 2024-04-22 10:45:09 发布
最新推荐文章于 2024-04-22 10:45:09 发布
阅读量156 收藏
点赞数
分类专栏: js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhghxy94/article/details/88199837
版权

面试被问到了前端安全方面的,然后一问三不知,现在先总结一下概念性的吧。

XSS攻击

什么是XSS

XSS全称跨站脚本攻击,是指恶意的web用户将代码植入到网站提供给其他用户使用的页面中,使得在渲染页面时执行了预期外的代码。

XSS的攻击方式
  1. 反射型攻击

将XSS代码作为url的参数提交给服务器,服务器返回的响应中包含该XSS代码,浏览器解析执行该代码。
举个例子,通过这种方式可以获取网页cookie中的信息

$.ajax({
  url:"http://localhost:3000?keyword=<script>alert(document.cookie);</script>",
  type:"GET"
 });
  1. 存储型攻击
    将XSS代码发送给服务器,存在服务器的数据库或内存中,下次请求页面会加载XSS代码
  2. DOM XSS
    恶意XSS代码在客户端本地执行
XSS的危害
  1. 盗取用户信息
  2. 流量劫持(定位到其他网站)
  3. Dos攻击
防御XSS
  1. 过滤危险节点:script,img,style,link,frame,iframe
  2. 对用户的数据进行编码处理
  3. 对cookie设置http-only,这样js脚本无法获得document.cookie

CSRF攻击

CSRF全称跨站请求伪造,是指非授权用户利用授权用户的浏览器取得目标站点的信任,向目标站点发送http请求

防范措施
  1. 验证码
    要求用户填写验证码,确保浏览器发送的请求经过用户确认,问题是用户的所有请求不能都填验证码
  2. Referer Check
    用来检查请求是否来自合法的源
  3. token
    用户访问页面时服务端会生成一个token,放在用户的session或cookie中,用户请求时会附带上token,服务端收到请求会监测token是否一致,这种方法要注意token的有效性
zhghxy94
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端常见安全性问题
m0_44973790的博客
04-22 7478
文章目录 一、常见的安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
浅谈前端制作中,IE6还有必要兼容吗
09-22
在这种情况下,前端开发者需要与决策者进行沟通,解释继续支持旧版IE的代价,包括额外的开发成本、安全风险以及对用户体验的影响。同时,倡导转向现代浏览器,提升整体的网络服务质量。 然而,我们也必须承认,市场...
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
最新发布
JINGWHALE
04-22 1425
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 956
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
前端安全问题及解决方案
似水流年QC的博客
06-29 1372
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
前端进阶】前端安全:从入门到实践
weixin_55846296的博客
06-27 1436
Web应用程序的广泛使用,使得Web安全变得越来越重要。随着Web技术的不断发展和Web应用程序的复杂性增加,越来越多的前端安全漏洞受到广泛关注。为了保护Web应用程序和用户数据,我们需要了解和掌握前端安全的知识和实践。在本文中,我们将介绍前端安全的基本概念,涉及到一些常见的前端安全问题以及如何保护Web应用程序和用户数据的方法。最后,我们将深入探讨前端安全的实践方案,以帮助您实现更安全的Web应用程序。在日益复杂和高风险的网络世界中,保护Web应用程序和用户数据至关重要。
Web_安全架构浅谈.pdf
01-02
在《Web安全架构浅谈》中,主要讨论了Web安全的多个方面,包括安全架构、扫描器、WAF(Web应用防火墙)以及面临的挑战和解决方案。以下是详细的知识点解析: 1. **Web安全扫描器**: - 扫描器用于检测Web应用中的...
浅谈4InTouchHMI软件的应用方法
10-23
在某醋酸纤维有限公司的《动力工段自控系统改造》项目中,改造的目标是提高系统的效率和安全性,同时尽量减少额外投资。改造前,动力工段各车间分别使用独立的PLC和InTouch操作站进行监控。化水车间采用一套SIEMENS ...
浅谈交通安全智能检查站系统的研发.rar
09-20
交通安全智能检查站系统是现代交通管理中的重要组成部分,它利用先进的信息技术、物联网技术和人工智能算法,对过往车辆进行实时监控和安全检查,以提高道路交通的安全性和效率。本文将深入探讨该系统的研发过程,...
浅谈施工现场的智慧安全用电监管系统.pdf
11-12
3. **建筑电气安全监控云平台**:接收并处理来自前端的电气安全数据,进行存储、分析,并根据分析结果发出调度指令,实现用电安全的专业化和统一管理。 系统的主要功能和优势如下: - **远程监控**:用户可以通过...
年终前端安全防护规范总结
qq_53058639的博客
12-30 848
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
前端安全
zhanzhan666666的博客
10-25 811
有哪些可能引起前端安全的问题? 跨站脚本攻击(Cross-Site Scripting,XSS):一种代码注入方式,为了与 CSS 区分所以被称为 XSS。早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他啊人在浏览到有恶意脚本的页面。其注入方式很简单,包括但不限于 JavaScript / VBScript / CSS / Flash 等; iframe滥用:iframe 中的内容是由第三方来提供的,默认情况下它们不受我们控制,它们可以在 iframe 中运
前端常见安全问题以及解决方案汇总
zhong_333的博客
01-24 1865
在处理前端安全问题时,我们意识到安全性是一个不断演进的过程。通过采取一系列措施,如设置安全头部、使用 HTTPS 加密传输、及时更新第三方依赖并引入安全监控,我们可以有效地降低潜在的安全风险。此外,数据脱敏和定期审查安全措施也对保障前端应用程序的安全性至关重要。综上所述,领会并实践这些前端安全原则,将有助于确保用户数据和系统的安全,为用户提供更可靠的在线体验。
前端安全汇总(持续更新)
Innocence_0的博客
02-15 424
前端安全汇总(持续更新)
前端安全—常见的攻击方式及防御方法
dzqxwzoe的博客
12-31 1095
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
02-23 1829
随着互联网的发展,Web应用程序越来越普及,但是Web安全问题也随之增加。前端开发者作为Web应用程序的构建者之一,需要了解和掌握Web安全的基本知识和解决方案。本文将介绍前端开发者必须知道的Web安全问题和防范措施。
104、前端5种安全问题及防范
sunnnnh的博客
08-26 3569
1.CSRF(跨站请求伪造) (1)什么是CSRF 你可以这么理解 CSRF 攻击:攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。总结起来就是:个人隐私暴露及财产安全问题。 /* * 阐述 CSRF 攻击思想:(核心2和3) * 1、浏览并登录信任网站(举例:淘宝) * 2、登录成功后在浏览器产生信息存储(举例:cookie) * 3、用户在没有登出淘宝的情况下,访问危险网站 * 4、危险网站中存在..
浅谈Linux操作系统安全性研究总结
本篇毕业论文以"浅谈Linux操作系统的安全"为主题,旨在探讨Linux操作系统的安全性,并根据实际情况进行深入分析和研究。在本文中,作者郑重声明本文内容是在指导老师的指导下进行的研究工作,本人自始至终保证内容的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值