美文网首页
前端安全之XSS与CSRF

前端安全之XSS与CSRF

作者: 雷雨leiyu | 来源:发表于2021-05-22 16:41 被阅读0次

    前端面临的安全问题

    当前随着前端技术以及应用的快速发展安全问题越来越不多被忽视,常见的前端攻击手段有XSS以及XSRF等。

    XSS攻击

    XSS全称cross-site scripting,中文名为跨站脚本攻击,即通过一定的手段将带有一定危险的js代码提交到服务器上,当服务器执行或者显示这些数据的时候就会出现一系列的问题。

    XSS最大的害处就是盗取cookie,通过提交有害代码显示目标用户的cookie,比如document.cookie。

    XSS的常用攻击手段

    • 反射型:将xss代码通过url注入;
    • 存储型:将xss代码保存到服务器中,在显示的时候会报错;

    XSS的防范手段

    • encode传递参数:比如&转义成&,"转义成",'转义成&#39,以及</>等;
    • filter:对富文本的过滤,即包含大量html标签的过滤;
    • Content-Security-Policy:XSS的根本解决方法;
    • XSS:cross-site scripting ,跨域脚本攻击,不需要登录;

    XSRF攻击

    XSRF又称为CSRF(cross-site request forgery),中文名为跨站请求伪造,它的主要攻击方式就是利用用户的登录状态悄悄提交各种信息,比如钓鱼网站等。

    防范手段

    • referer:利用header中的referer,但这种手段并不可靠,因为有些浏览器或者app限制了这个字段;
    • token:有服务器端生成并发送给客户端,在客户端每次提交之前都要传送token;

    补充知识

    • cookie组成:1. domain,2. path,3. expires,4. secure,5. key-value;
    • 单个域名下cookie的最大数量:30-50;
    • 单个cookie的存储上限:4K;

    相关文章

      网友评论

          本文标题:前端安全之XSS与CSRF

          本文链接:https://www.haomeiwen.com/subject/eoynjltx.html