前端安全实用防御方案

最新推荐文章于 2024-01-24 20:52:51 发布
最新推荐文章于 2024-01-24 20:52:51 发布
阅读量380 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cengjingcanghai123/article/details/105334498
版权

XSS防御

  1. 转义字符(正则替换)

    function escape(str) {
  str = str.replace(/&/g, '&')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2F;')
  return str
}

  2. 转义字符(js-xss插件)

    const xss = require('xss')
let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')

  3. CSP

    1. 设置 HTTP Header 中的 Content-Security-Policy

      1. 只允许加载本站资源

        Content-Security-Policy: default-src ‘self’

      2. 只允许加载 HTTPS 协议图片

        Content-Security-Policy: img-src https://*

      3. 允许加载任何来源框架

        Content-Security-Policy: child-src 'none'

    2. 设置 meta 标签的方式

CSRF防御

  1. SameSite:可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。

  2. 验证Referer:对于需要防范 CSRF 的请求,我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。

  3. Token:服务器下发一个随机 Token,每次发起请求时将 Token 携带上,服务器验证 Token 是否有效。

点击劫持防御

  1. X-FRAME-OPTIONS:X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击(该响应头有三个值可选,分别是:DENY,表示页面不允许通过 iframe 的方式展示;SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示;ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示)。

  2. JS 防御

    <head>
  <style id="click-jack">
    html {
      display: none !important;
    }
</style>
</head>
<body>
  <script>
    if (self == top) {
      var style = document.getElementById('click-jack')
      document.body.removeChild(style)
    } else {
      top.location = self.location
    }
</script>
</body>

运营商劫持防御

  1. 思路:在运营商插入非法代码之前监听dom变动

  2. step1:挂载dom监听器

  3. step2:处理dom变动,进行白名单筛选

  4. step3:处理运营商非法注入

  5. 代码实现:

    class HijackPreventor {
    constructor(watchNode = Array.from(document.getElementsByTagName('body'))[0],report=()=>{}) {
        this.whiteList = []
        this.whiteRegList = []
        this.filterTagList = ['script']
        this.report = report
        this.setObserver(watchNode)
    }
​
    /**
     * 设置域名白名单
     * @param {Array|String} list 
     */
    setWhilteList(item) {
        if (item instanceof Array) {
            this.whiteList = item
        } else if (typeof item === 'string') {
            this.whiteList.push(item)
        } else {
            console.error('[HijackPreventor]: Please set an Array or String type parameter to "setWhilteList" ')
            return;
        }
        this.whiteRegList = this.whiteList.map(wl =>
            new RegExp('/.+?\/\/' + wl + '|\/\/' + wl + '|.+?\.' + wl + '|^' + wl)
        )
    }
​
    /**
     * 挂载dom监听器
     * @param {Node} node 
     */
    setObserver(watchNode) {
        const observer = window.MutationObserver || window.WebKitMutationObserver || window.MozMutationObserver;
        const isSupportObserver = !!observer
        if (isSupportObserver) {
            console.info('[HijackPreventor]: The preventor is running...')
            new observer((records) => {
                this.filterSafeScript(records)
            }).observe(watchNode, { childList: true, attributes: true })
        } else {
            console.error('[HijackPreventor]: Your platform is not supported with "window.MutationObserver",please update.')
        }
    }
​
    /**
     * 获取非法注入
     * @param {Node} records 
     */
    filterSafeScript(records) {
        const { filterTagList, whiteRegList } = this
        let badInjections = []
        records.forEach(record => {
            const addedNodes = Array.from(record.addedNodes)
            addedNodes.forEach((node) => {
                if (node.tagName && ~filterTagList.indexOf(node.tagName.toLowerCase())) {
                    const isInWhiteList = whiteRegList.some((reg) => reg.test(node.src))
                    if (!isInWhiteList) {
                        badInjections.push({ badNode: node, badSource: node.src })
                    }
                }
            })
        })
        this.handleBadInjections(badInjections)
    }
​
    /**
     * 处理非法注入
     * @param {Array} badInjections 
     */
    handleBadInjections(badInjections) {
        badInjections.forEach(({ badNode, badSource }) => {
            badNode.remove(); // 移除非法注入节点
            console.warn(`[HijackPreventor]: The source "${badSource}" is invalid,removed it already.`)
        })
        this.report(badInjections)
    }
​
    /**
     * 模拟插入script,用来测试
     * @param {Node} appendNode 
     */
    mockHijack(appendNode = document.getElementsByTagName('body')[0]) {
        const node = document.createElement("script");
        node.src = 'https://cdn.bootcss.com/zepto/1.0rc1/zepto.min.js'
        appendNode.appendChild(node)
    }
}

参考资料

  1. https://juejin.im/book/5bdc715fe51d454e755f75ef/section/5bdc721851882516c33430a2

  2. https://www.jianshu.com/p/f7e19bab20e4

延伸阅读

▶ Walkthrough007

浅谈前端安全以及防御措施
bluemoon_0的博客
02-17 975
浅谈前端安全以及防御措施
前端常见的安全问题及防范措施
m0_56069948的博客
02-23 1万+
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 前言 随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及
面试官问:你在项目中做过哪些安全防范措施?
u012384510的博客
05-20 780
大家好,我是若川。今天分享一篇安全相关的文章。点击下方卡片关注我、加个星标,或者查看源码等系列文章。学习源码整体架构系列、年度总结、JS基础系列如果你被面试官问到这个问题,不要急于描述自己...
前端安全防御大全
SH'S BLOG
01-20 618
网络安全 前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的 介绍一下常见的安全问题,解决方式,和小的Demo,希望大家喜欢 网络安全汇总 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 在我看来,前端可以了解并且防御前4个就可以了(小声逼逼:大佬当我没说) XSS Cross Site...
浅谈前端安全以及如何防范?
热门推荐
liuyingv8的博客
05-10 1万+
随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。  首先前端攻击都有哪些形式,我们该如何防范?  一、XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括H...
Web应用前端安全策略:深度解析与防范方案
"Web前端-Web应用前端安全策略研究及应用.pdf" 随着Web技术的快速发展,Web应用已经成为构建网站和移动应用的主要方式。W3C标准的成熟和浏览器环境的不断优化,使得Web应用不仅在桌面端,也在移动端通过混合应用...
前端安全实用指南】:复写浏览按钮组件时的安全风险与对策
前端安全是保障网络应用整体安全的重要组成部分。本文从浏览按钮组件的原理与风险出发,详细分析了其工作原理以及常见的安全风险,包括文件类型限制绕过、文件内容泄露、以及跨站脚本攻击(XSS)等问题。接着,本文...
前端安全策略】:6大实用技巧保障毕业论文数据安全无死角
本文深入探讨了前端安全策略的各个方面,从基础知识到进阶应用,涵盖了当前互联网环境中前端安全的挑战和解决方案。首先概述了前端面临的安全威胁类型及其原理,进而详细阐述了安全前端设计原则、防御技术和实践...
iPlatUI安全攻略:防御前端攻击的8项技术
!...通过对常见的前端攻击手段(如XSS、CSRF和点击劫持)的深入分析,本文阐述了相应的防御策略和安全功能实现方法,如输入验证、内容安全策略(CSP)和API接口安全规范。此外,文章通过实际案例,
dhtmlx安全实践:防御常见前端攻击技术的私密技巧
通过分析不同类型的XSS攻击及其防御机制,如内容安全策略(CSP)、输入验证和输出净化,本文强调了前端防御技术的重要性。此外,文中还探讨了CSRF攻击的工作原理和关键技术,以及如何在DHTMLX框架中实现防护。最后,...
security.js前端RSA加密插件
08-17
security.js整合了BigInt.js,RSA.js,Barrett.js最后修改时间是2010年,比较新!
公众号安全应急处置预案.docx
11-19
为妥善应对和处置信息安全突发事件,确保公众号正常运行,最大限度地避免、减少和消除因网络舆情造成的各种负面影响,切实提升应对媒体的能力,营造良好的网络舆论环境,根据工作实际,特制定本预案,应急措施如下:
前端安全机制与解决方案
weixin_30919235的博客
12-03 490
一、概述   “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。比如说,SQL注入漏洞发生在后端应用中,是后端安全问题,跨站脚本攻击(XSS)则是前端安全问题,因为它发生在用户的浏览器里。 ...
前端-安全-插件
zhowlay的博客
04-02 165
1、内容安全策略( CSP ) 2、Cookie 的 SameSite 属性
前端常见安全问题以及解决方案汇总
最新发布
zhong_333的博客
01-24 3745
处理前端安全问题时,我们意识到安全性是一个不断演进的过程。通过采取一系列措施,如设置安全头部、使用 HTTPS 加密传输、及时更新第三方依赖并引入安全监控,我们可以有效地降低潜在的安全风险。此外,数据脱敏和定期审查安全措施也对保障前端应用程序的安全性至关重要。综上所述,领会并实践这些前端安全原则,将有助于确保用户数据和系统的安全,为用户提供更可靠的在线体验。
前端 - 安全
renpinghao的专栏
06-25 328
防止SQL 注入(主要靠后端解决) 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 利用SQL注入漏洞登录后台 ...
认识前端安全
WilsonLiu's Blog
08-16 3136
前端安全一直是一个蛮严苛的问题,特别如果设计到money更是如此。 了解前端安全,在平时的coding中主动考虑,防范于未然,是一个有追求的程序猿应该做的。未登录我们从弱弱的基本开始,第一步当然是登录鉴权了,如果一个需要用户身份鉴权的应用系统没有登录过滤那简直是没法想像的,方案基本都是用户输入用户名 密码、或是三方 openID 授权后在 session 里保存用户此次登录的凭证来确保每次请求的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值