认识前端安全

最新推荐文章于 2025-05-24 13:38:55 发布
最新推荐文章于 2025-05-24 13:38:55 发布
阅读量3.1k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: session 前端 安全 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liusheng95/article/details/52218406

前端安全一直是一个蛮严苛的问题,特别如果设计到money更是如此。
了解前端安全,在平时的coding中主动考虑,防范于未然,是一个有追求的程序猿应该做的。

未登录

我们从弱弱的基本开始,第一步当然是登录鉴权了,如果一个需要用户身份鉴权的应用系统没有登录过滤那简直是没法想像的,方案基本都是用户输入用户名
密码、或是三方 openID 授权后在 session 里保存用户此次登录的凭证来确保每次请求的合法性。由于 session有时效限制,所以若用户一段时间未与服务
器交互则会过期重登,当然我们也可以通过把登录凭证存在 cookie 里来自由控制用户登录的有效时间。这个是最基本的鉴权我们就不深入细节。

登录了,但被CSRF

虽然有了登录验证后,我们可以挡掉其他非登录用户的骚扰了,但悲剧的是坏人们还是可以欺骗我们善良的用户,借已登录用户的手来搞破坏。
即 CSRF(Cross-site request forgery)跨站请求伪造。

举个栗子:
有个黑客的网站 h.com,我们的网站 a.com。用户登录了a.com,但被诱点进入h.com(如收到 QQ 消息或邮件传播的h.com 的链接),当用户访问
这个链接时,h.com 上自动发送一个请求到 a.com,由于用户已登录a.com,浏览器根据同源策略,会在该请求上自动附带了 cookie,而前面我们
提到了鉴权是通过 cookie 里的某个 key 值凭证的,所以如若没有判断该请求的来源合法性,我们则通过了该伪造的请求,执行了相应的操作。比如
这个请求是让该用户发一篇日志,或是发微博,或是严重的发起一笔转账。

常见的诸如放一张看不见的图片发起get请求

<img src=http://www.a.com/Transfer.php?toUserId=999&money=1000000>

post 请求会稍微麻烦些,但同样很好实现,可以构造一个表诱导用户点击,也可以直接利用ajax发送post请求。

最低0.47元/天 解锁文章

200万优质内容无限畅学
前端常见安全性问题
m0_44973790的博客
04-22 9216
文章目录 一、常见的安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
【高频考点精讲】前端工程师必会的10种Web安全防护措施
最新发布
全栈老李的博客
07-10 888
🧑‍🏫:全栈老李📅:2025 年 7 月🧑‍💻:前端初学者、进阶开发者🚀:本文由全栈老李原创,转载请注明出处。最近在给团队做安全审计时发现,很多前端同学对Web安全的理解还停留在"加个验证码"的层面。今天全栈老李就来聊聊那些真正能保护你和用户的前端安全措施,有些坑我当年可是用血泪教训换来的经验啊。
前端安全问题及解决办法
dazu9487的博客
12-14 876
一、随着前端的快速发展,各种技术不断更新,但是前端安全问题也值得我们重视,不要等到项目上线之后才去重视安全问题,到时候被黑客攻击的时候一切都太晚了。 二、本文将讲述前端的六大安全问题,是平常比较常见的安全问题,当然如果还有其他必要重要的安全问题大家可以帮忙补充: 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request...
8大前端安全问题
面向对象的夜猫子
11-02 785
当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。比如说,SQL注入漏洞发生在后端应用中,是后端安全问题,跨站脚本攻击(XSS)则是前端安全问题,
前端开发的安全性问题
撒娇卖萌求offer的博客
06-13 597
web大前端开发中一些常见的安全性问题 浅谈前端WEB安全性(一)
前端框架中的前端安全性(Front-end Security)
官方推荐
06-27 3379
前端框架中的前端安全性(Front-end Security)
前端安全防线:深入解析JS打包、混淆与加密技术
qq_47270542的博客
05-06 1193
打包是指将项目中多个分散的JavaScript文件(以及CSS、图片等资源)合并成一个或多个文件的过程。这个过程通常由构建工具(如Webpack、Rollup、Vite等)完成。
RESTful API安全认证在前端的实现方案对比
小白菜的博客
05-24 843
目的是帮助前端开发者全面了解RESTful API安全认证在前端的各种实现方案,为实际项目中的安全认证选择提供参考。范围涵盖常见的前端安全认证机制,包括但不限于HTTP基本认证、Token认证、OAuth认证等,以及它们在不同场景下的应用和对比。本文首先介绍相关术语和核心概念,接着通过故事引入主题,详细解释各种核心概念及其关系,给出核心概念原理和架构的文本示意图以及Mermaid流程图。然后阐述核心算法原理和具体操作步骤,介绍数学模型和公式,通过项目实战展示代码实际案例并进行详细解释。
认识计算机前端和后端
大柳的博客
08-14 7561
1.前后端认知 什么是前端? 什么是后端? 什么是数据库? 前端: 用户的可见界面 数据展示在页面上给用户看到 后端: 把前端的数据存储到数据库 把数据库的数据传递给前 数据库: 存储数据的“仓库” 让后端进行数据的增删改查 前端和后端开发内容的区别 1、运行环境不同 (1)Web前端代码主要在客户端(PC、手机、pad)运行; (2)Web后端的代码主要在服务端运行,服务器可以在提供服务厂家的数据中心,也可以在云端。 2、与用户紧密关系不同 (1)前端重用户体验,主要..
前端开发领域的核心技术和最佳实践指南-涵盖HTML5/CSS3、JavaScript、前端框架与库及性能安全优化
03-22
通过详述这些主题,本文不仅提升了对前端开发理论的认识,更为实际项目的实现提供了坚实的技术支撑。 适用人群:具备前端开发基础的研发人员、希望深入了解现代Web开发技术和框架的企业开发团队及个人自学开发者。 ...
浅谈前端安全
weixin_43675915的博客
06-10 7820
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端安全
qq_40781291的博客
03-12 193
XSS攻击 存储型XSS 反射型XSS DOM型XSS
前端安全问题
qq_41687299的博客
06-18 221
1、XSS攻击 定义 跨脚本攻击,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。 发生 恶意代码未经过过滤,与网站正常代码混淆,导致浏览器无法分辨脚本的可信度,导致恶意脚本被执行 危险 有意者会利用这些恶意脚本获取用户的敏感信息Cookie、SessionID等,进而危害数据安全 分类: **存储区:恶意代存放的位置 **存储区:恶意代存放的位置 存储型 1) 攻击者将恶意代码提交到目标网站的数据库 2) 用户打开目标网站时,网站服务端将恶意代码从数据库中取出,拼接
前端方面的安全
u011435776的博客
06-26 491
一、XSS    跨脚本攻击XSS(Cross Site Scripting)是跨站脚本攻击,为了区分CSS,所以缩写为XSS。XSS攻击方式是往Web页面插入恶意的 JavaScript 代码,当用户浏览网页的时候,插入的代码就是被执行,从而达到攻击的目的。其中应用比较多的一个就是,在网页一些公用的交互区域。比如搜索的文本框,除了可以输入一些关键字,还可以输入一些 JavaScript 代码,一...
前端安全】常见安全性问题及解决方案
m_sy530的博客
10-20 5155
前端开发过程中,我们不仅要考虑性能优化问题,还需要考虑各类安全问题,本文章为大家分享了几类常见的前端安全性问题以及相应的解决方案。
前端安全性问题
IT_bar的博客
09-08 384
前端安全性问题 1、xss跨站脚本攻击(原理、如何进行的、防御手段是什么,要说清楚) 2、CSRF跨站请求伪造(如何伪造法?怎么防御?等等都要说清楚) 3、sql脚本注入(注入方式,防御方式) 4、上传漏洞 (防御方式) 1.xss攻击 xss攻击又叫做跨站脚本攻击,主要是用户输入或通过其他方式,向我们的代码中注入了一下其他的js,而我们又没有做任何防范,去执行了这段js。 可能用户会写一个死循环,将我们的页面给弄崩了,但是也有可能通过这种方式,来获取我们的cookie,从而回去登陆态等信息 xss攻击从来
web前端安全编码(模版篇)
weixin_34320724的博客
05-21 367
  在web的开发的开发过程中,前端总是在处理后端打的各种变量,变量可以包含着中的各种各样的字符,如果不对这些字符进行”特殊“处理的话,轻者导致页面不正常的显示,潜入了其他的东西,亦即页面挂了,或者弹出不应该弹出的东西,这些都是我们不期望看到的,重者可能导致密码泄露,网站的访问量突然猛增,服务器挂掉。   在前端的开发中,涉及到以下几种语境:   1)直接显示在页面上, eg:&lt;div&...
《Web前端黑客技术揭秘》- 前端安全攻防解析
此书适合前端工程师和对网络安全感兴趣的读者,通过学习书中的案例和技巧,读者可以提升对Web前端安全的认识,增强自身和用户的数据保护能力。" 这本书不仅是前端开发者的必读,也是任何关心网络安全的个人或组织的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值