前端安全指南:常见攻击方式及防御策略

于 2025-03-20 09:09:12 发布
阅读量751 收藏 19
点赞数 30
CC 4.0 BY-SA版权
文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/s686ttttt/article/details/146387244

引言
前端作为用户与系统交互的“窗口”,承担着数据展示和操作的核心职责。然而,前端代码的开放性和动态特性也使其成为攻击者的主要目标。本文将介绍前端开发中常见的攻击方式,并分享实用的防御策略,帮助开发者构建更安全的 Web 应用。

前端网络攻击的方式有很多,比如:

  • 1. 跨站脚本攻击(XSS, Cross-Site Scripting)

  • 2. 跨站请求伪造(CSRF, Cross-Site Request Forgery)

  • 3. 点击劫持(Clickjacking)

  • 4. CORS 配置错误

  • 5. JSONP 劫持

  • 6. 第三方依赖风险

  • 7. 开放重定向(Open Redirect)

  • 8. 本地存储泄露

  • 9. 钓鱼攻击(Phishing)

  • 10. SEO 垃圾内容注入

 

一、跨站脚本攻击(XSS)

攻击原理

攻击者通过注入恶意脚本(如 JavaScript)到网页中,当其他用户访问时执行脚本,窃取 Cookie、会话信息或篡改页面内容。

类型与示例

  1. 存储型 XSS:恶意脚本存储在服务器(如论坛评论区),每次访问页面时触发。

    <!-- 攻击者在评论中插入脚本 -->
<script>stealCookie(document.cookie);</script>

  2. 反射型 XSS:通过 URL 参数传递恶意脚本,页面直接反射输出。

    https://example.com/search?query=<script>alert('XSS')</script>

  3. DOM 型 XSS:通过修改 DOM 触发漏洞。

    // 攻击者控制输入后动态写入页面
document.write('<img src="x" onerror="恶意代码">');

防御方案

  • 输入过滤与转义:对用户输入的特殊字符(如 <>&)进行转义。

    function escapeHTML(str) {
  return str.replace(/&/g, '&amp;')
           .replace(/</g, '&lt;')
           .replace(/>/g, '&gt;');
}

  • 启用 CSP 策略:通过 HTTP 头限制脚本来源。

    Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;

  • 避免危险 API:优先使用 textContent 替代 innerHTML,禁止 eval()

二、跨站请求伪造(CSRF)

攻击原理

诱导用户在已登录目标网站的状态下,发起非预期的操作请求(如转账、修改密码)。

示例

<!-- 恶意网站中嵌入转账请求 -->
<img src="https://bank.com/transfer?to=attacker&amount=1000">

防御方案

  • CSRF Token:后端生成唯一 Token 并嵌入表单,提交时校验。

    <form action="/transfer">
  <input type="hidden" name="csrf_token" value="随机Token">
</form>

  • SameSite Cookie:设置 Cookie 的 SameSite 属性。

    Set-Cookie: session_id=123; SameSite=Strict; HttpOnly

  • 校验请求来源:检查 Referer 或 Origin 头是否合法。

三、点击劫持(Clickjacking)

攻击原理

通过透明 iframe 覆盖恶意按钮在合法页面上,诱导用户点击。

示例

<iframe src="https://bank.com" style="opacity: 0; position: absolute;"></iframe>

防御方案

  • 设置 X-Frame-Options:禁止页面被嵌套。

    X-Frame-Options: DENY

  • 使用 CSP 的 frame-ancestors:更灵活的防护。

    Content-Security-Policy: frame-ancestors 'none';

四、CORS 配置错误

风险场景

错误配置跨域资源共享(CORS)导致敏感数据泄露。

Access-Control-Allow-Origin: *  // 允许任意域访问

防御方案

  • 限制可信域名

    Access-Control-Allow-Origin: https://your-domain.com

  • 避免暴露敏感头

    Access-Control-Expose-Headers: X-Custom-Header

五、第三方依赖风险

典型案例

2018 年 event-stream npm 包被植入恶意代码,窃取加密货币钱包信息。

防御方案

  1. 依赖扫描:使用 npm audit 或 yarn audit 检查漏洞。

  2. 锁定版本:通过 package-lock.json 或 yarn.lock 固定版本。

  3. 最小化依赖:仅引入必要库,定期清理未使用的包。

六、本地存储泄露

风险场景

将敏感数据(如 Token)存储在 localStorage 中,可能被 XSS 窃取。

防御方案

  • 优先使用 HttpOnly Cookie:避免 JavaScript 读取。

    Set-Cookie: auth_token=abc123; HttpOnly; Secure

  • 加密敏感数据:如需本地存储,使用 AES 等加密算法。

七、开放重定向攻击

攻击示例

https://example.com/redirect?url=https://phishing-site.com

防御方案

  • 白名单校验:仅允许跳转到可信域名。

  • 静态映射重定向:避免动态参数。

    const allowedUrls = { 'home': '/home', 'blog': '/blog' };

八、钓鱼攻击(Phishing)

防御策略

  1. 用户教育:提示检查域名和 HTTPS 证书。

  2. 双因素认证(2FA):即使密码泄露,仍需二次验证。

  3. 反钓鱼技术:使用 WebAuthn 生物识别认证。

总结:构建前端安全防线

  1. 输入即威胁:始终对用户输入进行过滤和转义。

  2. 最小权限原则:Cookie 设置 HttpOnly + SameSite,API 按需授权。

  3. 安全头配置:启用 CSP、X-Frame-Options、HSTS 等。

  4. 依赖管理:定期更新第三方库,使用自动化扫描工具。

  5. 监控与测试:结合 OWASP ZAP、Burp Suite 进行渗透测试。

延伸阅读

作者提示:安全是一场持续的战斗,保持警惕并定期审查代码是守护用户数据的关键! 🔒

33-66
关注
7 种常见前端攻击
阿超的博客
12-31 874
大家都知道,保证网站的安全是十分重要的,一旦网站被攻陷,就有可能造成用户的经济损失,隐私泄露,网站功能被破坏,或者是传播恶意病毒等重大危害。所以下面我们就来讲讲7 种常见前端攻击
前端安全- 常见的网络攻击
lovepink527的博客
01-16 3452
1. xss 攻击 1.1 反射性攻击 url参数直接注入(地址栏运行脚本) 1.2 影响: 利用虚假输入表单骗取用户个人信息 利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求 显示伪造的文章或图片 1.3 防御 csp内容安全策略 ...
7 种常见前端安全攻击
2201_75362610的博客
01-27 1141
最近发生的诸如Balancer 协议泄露之类的事件暴露了攻击者在利用前端漏洞时可以造成多大的损害。据公开承认的消息,Balancer Protocol 据报道遭到前端攻击,造成超过 24 万美元的损失。由于黑客工具和脚本的激增,发起攻击的障碍不断下降,对 Web 应用程序的威胁持续增长。这些迫使受害者在他们登录的应用程序中执行不需要的操作。例如,攻击者可以通过伪装的链接欺骗用户,使用用户存储的凭据悄悄地从用户的帐户中转移资金。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
WEB前端常见攻击方式及解决办法总结
qq_44005305的博客
01-15 1487
具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
前端安全常见攻击方式防御方法
wangluoanquan111的博客
03-12 1153
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
前端常见攻击防御方法
weixin_43800477的博客
12-26 4368
Xss攻击:跨站脚本攻击,它允许恶意web用户将代码植入页面中,这样当别人访问到该页面时,也执行了嵌入的那部分代码,可以简单的理解为JavaScript代码注入(防御:转义用户的输入,就是把用户的输入解读为数据而不是代码,对用户的输入及请求都进行过滤检查,设置输入域的匹配规则等,使用cookie的httpOnly属性,加上这个属性的cookie字段,js就无法进行读写了) CSRF攻击:跨站请求伪造,是一种对网站的恶意利用。比如说你登录了一个普通网站,然后CSRF攻击者在你已经登录目标网站之后,诱使你访问
前端安全攻防:如何防御常见的XSS和CSRF攻击
![前端安全攻防:如何防御常见的XSS和CSRF攻击]...通过对XSS攻击原理的阐述和防御策略的介绍,本文着重讲解了输入验证、内容安全策略(CSP)和HTTP头等技术在实际应用中的使用。同时,对于CSRF攻击,本文提供了详尽
网络安全upload-labs靶场通关指南:文件上传漏洞利用与防御技术详解及环境搭建教程
最新发布
07-11
最后,文档还提出了安全加固建议,强调了文件上传安全策略和服务端配置加固的重要性,指出防御需要多层防护策略,并提醒所有渗透测试应在授权环境下进行。 适合人群:对Web安全有一定了解的安全研究人员和技术爱好者...
前端安全指南:Vue中XSS防护与图片上传安全策略
[前端安全指南:Vue中XSS防护与图片上传安全策略](https://d2jq2hx2dbkw6t.cloudfront.net/503/XSS-in-Vue-JS.jpg) # 摘要 随着Web技术的发展,前端安全问题愈发凸显,尤其是跨站脚本攻击(XSS)和图片上传安全成为...
Tornado安全指南:如何防御常见Web攻击
[Tornado安全指南:如何防御常见Web攻击](https://img-blog.csdnimg.cn/df2e2c894bea4eb992e5a9b615d79307.png) # 1. Tornado框架简介与安全基础 ## 1.1 Tornado框架简介 Tornado是一个开源的Python Web框架和...
Spring Boot安全性加固指南防御常见攻击的10个方法
本文全面探讨了Spring Boot框架下的安全性基础和多种网络攻击防御策略。首先,介绍了Spring Boot安全性的基础概念,并逐步深入到SQL注入、XSS和CSRF攻击的原理、危害以及具体的防御技术。文中不仅解释了使用预处理...
前端安全常见攻击类型以及如何防御
yiyueqinghui的博客
10-29 2027
CSRF攻击 1. 什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如www.weibo.com/api,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2. 如何防御CSRF攻击 1.验
常见的Web前端攻击总结
南风
05-11 6499
&lt;一&gt;跨站点伪造请求(CSRF   cross site request forgery) 什么是CSRF?攻击者盗用合法用户的身份,向服务器发送请求,对于服务器来说又是完全合法的,但却完成了攻击者所期望的操作。        完成一次CSRF攻击,受害者需要完成一下两个步骤:        1)登录受信任网站A,并在本地生成cookie        2)在不登出网站A的情况...
web前端攻击详解
lidiya007的博客
10-20 6461
前端攻击成因   在web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患 XSS跨站脚本攻击:   英文全称cross-site-scripting,为了区别于cascading style sheets层叠样式表(CSS),因此缩写为XSS。 Web应用程序中,如果存在XSS漏洞,就会有以下风险: 1、
浅谈常用的几种web攻击方式以及解决办法
zou2ouzou的博客
03-08 6847
身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象。所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些常见攻击手段以及解决办法。        1.SQL注入             攻击方式            大多数人拥有字母数字式密码,或者有安全意识的人,拥有附带其他键盘符号的字母数字式密码。由于
前端安全常见WEB攻击及防范)
duansamve的博客
06-27 1826
WEB攻击常见的有:XSS攻击、CSRF攻击、SQL注入、文件上传漏洞。 一、XSS攻击 1、定义及危害: XSS是互联网中使用最广泛的攻击手段之一。 XSS定义:XSS是跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。 危害: 盗取各类用户账号,如用户网银账号,各类管理员账号; 控制企业数据,包括读取、篡
Web前端攻击方式防御措施
少女心の程序媛
02-28 6481
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。Web客户端使用Server端脚本生成页面为用户提供数据时,
前端安全攻防大全--专注于攻击防御
qq_45090740的博客
02-04 5005
常见的Web攻击方式 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 1、XSS Cross Site Scripting 跨站脚本攻击:实际执行另一个网站的脚本 XSS(Cross Site Scripting),跨站脚本攻击,因为缩写和CSS重叠,所以只能叫XSS。跨站脚本攻击是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的非本站点的HTML标签和JS进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值