场景的前端安全问题有哪些
-
XSS 跨站请求攻击
- 在新浪博客写一篇文章,同时偷偷插入一段<script>
- 攻击代码中,获取COOKIE,发送自己的服务器
- 发布博客,有人查看博客
- 会把查看者的COOKIE发送到攻击者的服务器
-
xss预防
- 前端替换关键字,例如替换<为<,>为>(前端替换影响性能)
- 后端替换
-
XSRF 跨站请求伪造
- 您已登录一个网站,正在浏览商品,
- 该网站付费接口是XXX.com/pay?id=100但是没有任何验证
- 然后你收到一封钓鱼邮件,隐藏着(img src=XXX.com/pay?id=100)
- 你查看邮件的时候,就已经悄悄的付费购买了
-
XSRF 解决方案
- 增加验证流程,如验证指纹、输入密码、短信验证码等
- 后端验证
网友评论