1. 程式人生 > >前端安全

前端安全

代碼 登錄 ner doc xss 客戶 list class 操作

前端安全問題主要有XSS、CSRF攻擊
XSS:跨站腳本攻擊
它允許用戶將惡意代碼植入到提供給其他用戶使用的頁面中,可以簡單的理解為一種javascript代碼註入。
XSS的防禦措施:

  1. 過濾轉義輸入輸出

  2. 避免使用evalnew Function等執行字符串的方法,除非確定字符串和用戶輸入無關

  3. 使用cookie的httpOnly屬性,加上了這個屬性的cookie字段,js是無法進行讀寫的

  4. 使用innerHTML、document.write的時候,如果數據是用戶輸入的,那麽需要對象關鍵字符進行過濾與轉義

CRSF:跨站請求偽造
其實就是網站中的一些提交行為,被黑客利用,在你訪問黑客的網站的時候進行操作,會被操作到其他網站上
CRSF防禦措施:

  1. 檢測http referer是否是同域名

  2. 避免登錄的session長時間存儲在客戶端中

  3. 關鍵請求使用驗證碼或者token機制

其他的一些攻擊方法還有HTTP劫持、界面操作劫持

前端安全