前端面试——安全

最新推荐文章于 2024-06-14 10:21:28 发布
最新推荐文章于 2024-06-14 10:21:28 发布
阅读量763 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 个人整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42281216/article/details/81631226
本文详细介绍了两种常见的Web安全威胁——CSRF(跨站请求伪造)与XSS(跨站脚本攻击)。首先解释了这两种攻击的基本概念及其工作原理,并提供了相应的防御措施,帮助开发者了解如何保护应用程序免受这些安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF

基本概念

CSRF,跨站请求伪造

攻击原理

1、网站存在接口漏洞

2、用户登录过该网站

防御措施

Token验证

Referer(页面来源)验证

隐藏令牌

XSS

基本概念

跨域脚本攻击是一种常见于web application中的计算机安全漏洞。

攻击原理

XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。

防御措施

HttpOnly防止劫取Cookie

输入检查(验证)

输出检查

处理富文体

防御DOM Based XSS:DOM Based XSS是从javascript中输出数据到HTML页面里。

网络攻击——XSS攻击
PUIWAH的博客
03-24 1757
XSS攻击 简介 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 不仅仅是...
前端面试——走楼梯问题
xt_123456的博客
08-14 718
问题描述:一个人爬楼梯,只可以一步走一层或一步走两层,共多少种走法? 输入:楼梯总层数 输出:有几种走法 解: 这个问题,是一个递归问题。 1.楼梯总层数为1,有一种走法,一步走一层。 2.楼梯总层数为2,有两种走法: 1)一步走一层,走两步 2)一步走两层,走一步 3.楼梯总层数为n的走法有多少种呢? 走到n层只有两种可能: 1)在第n-1层往上走1步(一步一层)到第n层 2)在第n-2层往上走1步(一步两层)到第n层 所以: 楼梯总层数为n的走法=楼梯总层数为n-1的走法+楼梯总层数为n-2的走法 类似
前端面试——安全相关
Amethyst的博客
02-15 2525
XSS 推荐一篇文章 跨站脚本攻击,在网页中嵌入一段js代码 反射型xss(非持久型):攻击的代码放在url中,提交到服务器,又返回给客户端,浏览器解析执行 存储型xss(持久型):常见的攻击方式是在留言的地方,输入一段xss脚本,服务端将评论内容存储在数据库中,这样每次刷新浏览器都会解析执行攻击代码 防御 输入过滤、输出编码(如把留言全部当成字符串) 设置cookie为http-only:只要cookie含有http-only字段,那么任何javaScript脚本都没有权限读取这条cooki
前端面试 安全相关篇
烊烊的博客
04-08 4965
1.XSS是怎样的攻击过程 XSS全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。 核心就是将可执行的前端脚本代码(通常是js)植入到网页中,简单来说,就是攻击者想让你的浏览器执行他的脚本代码 实现的方式有: ①反射型 攻击者将代码,作为请求参数放置URL中,诱导用户点击 用户点击后,后端没有检查过滤,就简单处理放入网页正文中返回给浏览器, 浏览器解析返回的网页 ②存储型 将攻击脚本存储入库,等后面进行查询的时候,再将攻击脚本渲染
前端面试--安全问题
weixin_42439051的博客
04-16 470
安全 基本概念,攻击方式,防御措施 CSRF 跨域请求伪造 前提:用户登录A网站生成本地cookie并且不登出情况下访问B 防御 token验证 服务器发送给客户端一个token; 客户端提交的表单中带着这个token。 如果这个 token 不合法,那么服务器拒绝这个请求。 隐藏令牌 把 token 隐藏在 http 的 head头中。 同一 refer验证 Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。 XSS 跨域脚本攻击 原理
前端安全方面面试
桃子阿桃
08-28 5198
1. 请简述XSS的原理 跨站脚本攻击, 用户的数据, 数据可能是文章或评论或浏览器访问时候的某个参数, 总之是来自用户的数据, 最后被当做脚本在页面中执行, 执行的地方可能在script标签或其他标签的属性或富文本中等等… 最根本的是本来是个数据被当成了脚本变成了程序 2. 请简述XSS的防御方法 两种思路: 不要让其变成程序, 这个数据变成程序的话不让它执行 浏览器内置了对反射型XSS的防御, 当它检测到有反射型xss的时候会进行拦截 对数据进行适当转义, 包括在正文中的转义, 属性中的转义, 脚本中
WEB前端面试——常见CSS知识点
06-30
WEB前端面试——常见CSS知识点 CSS是一种标记语言,用于描述网页的样式和布局。以下是常见的CSS知识点: 一、CSS盒子模型 CSS盒子模型分为标准盒模型(content-box)和怪异盒模型(border-box)。标准盒模型的...
前端面试——杨文坚stuQ公开课PPT
07-24
根据提供的信息,我们可以总结出以下相关知识点,这些知识点主要围绕前端面试的核心技能、简历准备以及STAR面试法的应用展开。 ### 一、能力模型 #### A、专业能力 1. **编程语言与框架**:掌握至少一种主流前端...
2022前端面试系列——Vue面试题.pdf
12-14
Vue面试题知识点总结 本文总结了Vue面试题中的知识点,涵盖了Vue的基本原理、双向数据绑定的原理、MVVM、MVC、MVP的区别等内容。 1. Vue的基本原理 Vue实例的创建过程中,Vue会遍历data中的属性,并使用Object....
前端面试题——网络篇
最新发布
相信自己,没有攀不过去的高山!
06-14 866
通过这三次握手和四次挥手的过程,TCP协议确保了连接的可靠建立与优雅关闭。
前端面试知识点大全——web安全
随风丶逆风的博客
11-17 2034
总纲:前端面试知识点大全 目录 1.xss(跨站脚本攻击) 1.1 概念 1.2 防御手段 2.csrf(跨站请求伪造) 2.1 概念 2.2 CSRF防御 3. SQL注入 3.1 概念 3.2 防御手段 4.DDOS 4.1 概念 4.2 例子 4.3 解决方案 1.xss(跨站脚本攻击) 1.1 概念 跨站脚本攻击(Cross-Site Scripting,...
前端安全-面试题(2024)
qq_16546829的博客
04-01 2145
前端安全面试题必问
前端面试整理笔记一
weixin_30535167的博客
03-26 218
一、常见的web安全及防护原理1.sql注入原理就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。防护,总的来说有以下几点:1、永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号双“--”进行转换等。2、永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3、永...
前端面试系列-安全
weixin_34008805的博客
03-05 207
XSS XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中,分为持久型(存储在数据库中,危害性较大)和非持久型。 防御方式 转义字符 function escape(str) { str = str.replace(/&/g, '&amp;') str = str.replace(/</g, '&lt;') ...
前端面试常见的安全问题(面试必备)
ikkkp的博客
09-20 515
前端常见的安全问题(面试必备)
前端面试安全那些事(八)
qq_43238599的博客
05-14 237
最近在准备面试,感觉好些东西了解,但是了解的深度有限。自己就总结了几个模块,打算强化一下。如果你感觉我的文章对你有帮助,请点赞。如果感觉有哪些不足之处,可以留言。让我们一同进步,学习!!! 最后在说明一下,这个系列我会一直写下去。如果,你有什么好的方向,也可以提出来。 XSS XSS,又叫跨站脚本攻击。 攻击方式 攻击者通过在页面输入JS脚本代码,恶意篡改客户端网页代码,从而在用户浏览网页的时候,获取用户数据,而达到自己想做的事情的目的。一般攻击者常干以下的事情: 获取被攻击者本地数据,比如cooki.
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
有一棵树的博客
12-29 2773
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。
前端安全性问题
田京京京京京京京的博客
12-10 1638
今天不知道怎么突然想起来前端安全性问题,之前遇到过这样的笔试题,了解过,但是感觉没明白,又忘记了,所以今天来做一个总结。 SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 防护措施:前端页面要校验用户的输入数据,后端不要使用动态SQL语句,不要直接存放机密数据。(严格说,sql注入属于后端的安全问题) XXS跨站脚本分析:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值