前端安全之常见问题总结

目录

正文

一、XSS(Cross Site Scripting)跨站JS脚本攻击,如何防范?

  1. 针对接口进行 XSS攻击,即把js脚本或者带恶意js脚本的html标签,作为GET或者POST参数提交到服务器,然后服务器解释并响应,在响应结果里把脚本或者html标签原样返回明显示和执行。这明显是很有问题。防范方式:1)提交数据前前端要做数据校验,对用户输入的信息(js代码及dom节点)进行过滤。2)对重要的cookie设置为httponly(服务器端可设置此字段),客户端就没有操作此cookie的权限。3)服务器端也要数据合法性校验
  2. 针对DOM本身进行 XSS攻击,如果本身页面代码中使用了window.eval来执行代码。eval本身会把一段字符串变成可执行的js代码,这是非常危险的。还有拼接html字符串后直接显示DOM时也会遇到同样的问题。防范方式:尽量避免使用eval,拼接html字符串时应校验字符串的合法性,过滤非法元素节点与属性节点,如iframe,script标签,onerror事件, style, src, href等。

可能产生危害:泄露了个人的cookie信息,身份认证被套取后,被用作非法用途
继续阅读“前端安全之常见问题总结”