安全性
前端安全问题有哪些?
- XSS 跨站请求攻击
- XSRF 跨站请求伪造
- 上边这两个问题,前端也只是辅助,主要还是靠后端
XSS原理
- 在博客里可以写文章,同时偷偷插入一段
<script>代码。 - 发布博客,有人查看博客内容
- 打开博客时,就会执行插入的js攻击代码
- 在攻击代码中,获取cookie(其中可能包含敏感信息),发送到攻击者的服务器,攻击者就得到了博客阅读者的信息。
XSS预防
- 前端替换关键字,如<替换为<
- 但前端替换影响性能,一般都后端替换
XSRF原理
- 你已经登陆了购物网站,正在浏览商品
- 该网站的付费接口是xxx.com/pay?id=100,但是没有任何验证
- 然后你收到一封邮件,隐藏着
<img src="是xxx.com/pay?id=100"> - 你查看邮件的时候已经悄悄付费购买了
XSRF预防
- 增加验证流程,如指纹,密码,短信验证码
- 实际工作中前端也就是配合后端做这些验证
一般安全性问题有哪些?
XSS: 跨站脚本攻击
在用户可以输入的地方,并且将作为代码编译时,攻击者可以通过输入一个脚本地址的方式进行对页面注入脚本攻击。解决方式: 任何用户输入的地方都不要相信,对用户输入内容进行转义,如 < 使用转义字符串 < 代替。