前端安全(XSS CSRF 网络劫持攻击 控制台注入代码 钓鱼)
XSS
它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中,简单理解为 js 代码注入
例子:在用户名中含有 script 标签,就可以执行其中的代码
解决方案:前端对输入输出数据都进行转义
例子:jquery 的 append 往 innerHTML 中注入 script
解决方案:对<script>标签进行转义
例子:利用 img 标签加载失败时调用 onerror 事件进行攻击
解决方案:还是转义。。。
例子:用 get 从 url 中获取参数的时候往参数中加入 js 代码
解决方案:不要拿 url 中的参数去 eval
例子:黑客读取 cookie
解决方案:使用 cookie 的 HttpOnly 属性,加了这个字段 js 是无法对 cookie 进行读写的
CSRF 跨站请求伪造,其实就是网站中的一些提交行为,被黑客利用,你在访问黑客的网站的时候,进行的操作,会被操作到其他网站上(如:你所使用的网络银行的网站)。 例子:读取 get 请求中的参数 解决方案:严格按照 post 请求去操作,不要使用 jsonp 去做提交型接口 例子:post 请求,用户在不知情的情况下提交了表单,服务器也以为是用户提交过来的 解决方案:增加验证码 每次请求都校验 token
网络劫持攻击 数据被中间代理层的劫持者截获盗取数据,如连接第三方 WiFi 解决方案:用 HTTPS 表单提交用非对称加密--即客户端加密,只有服务端能解开
控制台注入代码 解决方案:控制台警告用户不要做这种操作
钓鱼 在第三方网站输入账号密码,如 QQ 盗号