本文介绍了前端开发中的常见安全问题,包括XSS攻击、CSRF攻击、文件上传漏洞以及限制URL访问和不安全的加密存储。针对这些问题,提出了相应的解决方案,如输入过滤、编码、HttpOnly Cookie、验证码、Referer Check、Anti CSRF Token、文件类型白名单、URL权限校验和安全加密策略等,以增强前端应用的安全性。
XSS攻击
XSS(Cross Site
Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击.
例如:在表单提交时,输入js代码<script>alert(“hey!you are attacked”)</script>等或是增加提交请求时的网页,盗取信息
解决方法:
- 输入过滤,对输入的数据进行严格校验,诸如
<script>、<img>、<a>等标签进行过滤 - 编码,一些常见的符号,如<>在输入的时候要对其进行转换编码,这样做浏览器是不会对该标签进行解释执行的,同时也不影响显示效果
- 限制。通过以上的案例我们不难发现xss攻击要能达成往往需要较长的字符串,因此对于一些可以预期的输入可以通过限制长度强制截断来进行防御
- HttpOnly Cookie,预防XSS攻击窃取用户cookie最有效的防御手段
CSRF攻击
CSRF(Cross Site Request
Forgery),即跨站请求伪造,是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种
CSRF攻击的原理:CSRF攻击过程的受害者用户登录网站A,输入个人信息,在本地保存服务器生成的cookie。然后在A网
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
