美文网首页
JavaScript常见安全漏洞、Web 安全

JavaScript常见安全漏洞、Web 安全

作者: hui树 | 来源:发表于2022-04-07 17:54 被阅读0次

    1.https://blog.csdn.net/u011394397/article/details/69389341

    基于 DOM 的跨站点脚本编制

    我们都听说过 XSS(Cross Site Script,跨站点脚本编制,也称为跨站脚本攻击),指的是攻击者向合法的 Web 页面中插入恶意脚本代码(通常是 HTML 代码和 JavaScript 代码)然后提交请求给服务器,随即服务器响应页面即被植入了攻击者的恶意脚本代码,攻击者可以利用这些恶意脚本代码进行会话劫持等攻击。跨站点脚本编制通常分为反射型和持久型:当请求数据在服务器响应页面中呈现为未编码和未过滤时,即为反射型跨站点脚本编制;持久型指的是包含恶意代码的请求数据被保存在 Web 应用的服务器上,每次用户访问某个页面的时候,恶意代码都会被自动执行,这种攻击对于 Web2.0 类型的社交网站来说尤为常见,威胁也更大。应对跨站点脚本编制的主要方法有两点:一是不要信任用户的任何输入,尽量采用白名单技术来验证输入参数;二是输出的时候对用户提供的内容进行转义处理。

    但鲜为人知的是还有第三种跨站点脚本编制漏洞。 2005 年 Amit Klein 发表了白皮书《基于 DOM 的跨站点脚本编制—第三类跨站点脚本编制形式》("DOM Based Cross Site Scripting or XSS of the Third Kind"),它揭示了基于 DOM 的跨站点脚本编制不需要依赖于服务器端响应的内容,如果某些 HTML 页面使用了 document.location、document.URL 或者 document.referer 等 DOM 元素的属性,攻击者可以利用这些属性植入恶意脚本实施基于 DOM 的跨站点脚本编制攻击。

    2.https://www.eggjs.org/zh-CN/core/security 系统完整

    Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下:

    XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。
    CSRF 攻击:伪造用户请求向网站发起恶意请求。
    钓鱼攻击:利用网站的跳转链接或者图片制造钓鱼陷阱。
    HTTP 参数污染:利用对参数格式验证的不完善,对服务器进行参数注入攻击。
    远程代码执行:用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。

    3.https://cloud.tencent.com/developer/article/1744584?from=15425

    Web安全---CSRF攻击

    4.https://www.zhihu.com/question/301253397

    现在的前端框架全是通过API获得数据,如何记录用户登录状态?

    相关文章

      网友评论

          本文标题:JavaScript常见安全漏洞、Web 安全

          本文链接:https://www.haomeiwen.com/subject/xxhssrtx.html