读书笔记(二十二):前端安全
1.单页应用安全策略
单页应用采用前后端分离的设计方式,路由由前端管理,通过ajax进行通信,用户请求页面时,后端经常无法获取用户身份信息。
- 使用HTTPS来对传输内容(昵称、密码、token等)进行加密。
- 不要在URL query中传递敏感数据。
- 升级npm包,npm在6.0之后可以检测三方库隐患。
# 扫描所有依赖,列出依赖中有安全隐患的包
npm audit# 把不安全的包升级到可兼容的版本
npm audit fix
- 响应头设置
Content-Security-Policy:设置应用是否可以引用某些来源的内容,进而防止XSS。
关闭X-Powered-By,以避免暴露服务器端信息。
增加Public Key Pinning,预防中间人伪造证书。
Strict-Transport-Security:浏览器只能通过HTTPS访问当前资源。
X-Download-Options:IE8及以上支持,用来预防下载内容的安全隐患。
Cache-Control和Pragma header以关闭浏览器端缓存。
X-Content-Type-Options:禁用浏览器内容嗅探。
X-Frame-Options:预防clickjacking漏洞,是否允许在frame或iframe标签中渲染某个页面。
X-XSS-Protection:当检测到跨站脚本攻击时,浏览器会停止加载页面。
2.JWT鉴权
鉴权过程中,为了验证用户身份,需要浏览器向服务器提供一个验证信息,称之为token。通常由JSON数据格式组成,通过散列算法生成一个字符串,JSON Web Token(JWT),任何token持有者都可以无差别用它来访问相关资源。
一个JWT包含:header(消息头)、payload(消息体,储存用户数据)、signature(签名)。signature是基于前两部分生成的签名,前两部分分别通过Base64URL算法生成两组字符串,再和signature结合后通过.号分割,就是最终的token。
当客户端提交用户名/密码并通过认证后,就会获得JWT的token,接着通过js脚本在所有数据请求的header中加上token。服务器端接收到请求后,验证token的signature是否等同于payload,进而得知payload字段是否被中间人更改。一般将token存储在本地session storage中。
隐患:攻击者可以主动注入恶意脚本或使用户输入,通过js代码来偷取token(XSS),一般的防御手段是采用HTML转义来过滤用户输入,需要将用户输入的特殊字符进行转义。
3.Authentication cookie鉴权
cookie是含有有效期和相关domain并存储在浏览器中的键值对组合。
可以用js创建:
document.cookie = '123'
可以在服务器端设置响应头创建:
set-Cookie:123
浏览器会自动在每个请求中加入相关domain下的cookie,一般分为两种:
- session cookie:会随着用户关闭浏览器而被清除,不会被标记任何过期时间Expires或最大时限Max-Age。
- permanent cookie:会在用户关闭浏览器之后被浏览器持久化存储。
cookie安全配置:
- HttpOnly cookie: 在浏览器端,js没有读cookie的权限。
- Secure cookie:只有在特定安全通道(HTTPS)下,传输链路的请求中才会自动加入相关cookie。
- SameSite cookie:在跨域情况下,相关cookie无法被请求携带,主要是为了防止CSRF攻击。
隐患:cookie中直接存储了用户的身份认证信息,如果被读取是很可怕的;跨域访问技术(如CORS,跨域资源共享)的同源策略能保证不同源的客户端脚本在没有明确授权的情况下,无法读写对方资源。同源策略只是针对浏览器的编程脚本语言,如果对一个恶意服务器发送ajax请求,同源策略会限制发送,但如果请求直接通过HTML form发送,那同源策略就毫无办法了。为了防御XSS,设置httpOnly;防御CSRF,设置Samesite。
4.综合鉴权
结合上述两种鉴权方式,JWT的signature部分维护在设置了HttpOnly的cookie中,意味着js无法读取完整的JWT信息。同时,每次请求中都会携带cookie,服务器端将其返回给浏览器后进行存储,这样JWT信息在每次请求时都可以被更新,过期时间也会被自动加入其中。
鉴权流程:
- 对于单页应用中的每个页面,需要检查cookie中是否存在JWT payload,如果存在表示用户已经进行鉴权,否则重定向到登录页面。
- 用户在未授权情况下,在登陆时将用户名和密码提交给服务器端,在服务器端返回的信息中设置Anthentication
cookie,使cookie中含有JWT信息。
读书笔记(二十二):前端安全相关推荐
- 《深入浅出DPDK》读书笔记(十二):DPDK虚拟化技术篇(半虚拟化Virtio)
Table of Contents 半虚拟化Virtio 132.Virtio使用场景 133.Virtio规范和原理 11.2.1 设备的配置 1. 设备的初始化 2. 设备的发现 3. 传统模式v ...
- Android群英传读书笔记——第十二章:Android 5.X新特性详解
第十二章目录 12.1 Android5.X UI设计初步 12.1.1 材料的形态模拟 12.1.2 更加真实的动画 12.1.3 大色块的使用 12.2 Material Design主题 12. ...
- 《DAMA数据管理知识体系指南》读书笔记-第十二章(元数据管理)
目录 一.前言 二.内容结构 三.主要内容 1.引言 2.活动 3.工具 4.方法 5.实施指南 6.元数据治理 四.思考与总结 一.前言 本文是<DAMA数据管理知识体系指南>第12章的 ...
- 《Android源码设计模式解析与实战》读书笔记(十二)
第十二章.观察者模式 观察者模式是一个使用率非常高的模式,它最常用在GUI系统.订阅–发布系统.因为这个模式的一个重要作用就是解耦,将被观察者和观察者解耦,使得它们之间的依赖性更小,甚至做到毫无依赖. ...
- 《Linux内核设计与实现》读书笔记(十二)- 内存管理
内核的内存使用不像用户空间那样随意,内核的内存出现错误时也只有靠自己来解决(用户空间的内存错误可以抛给内核来解决). 所有内核的内存管理必须要简洁而且高效. 主要内容: 内存的管理单元 获取内存的方法 ...
- 《勋伯格和声学》读书笔记(十二):小下属关系
前言 通过引入下属小调领域调中的副三和弦可以大大扩充调性,并可以用来扩充终止式,并用来丰富一个调中的和声材料. 笔记 C大调的小下属关系调式为f小调(F-G-Ab-Bb-C-Db-Eb)和Ab大调(A ...
- apue读书笔记-第十二章
1 可重入,线程安全,异步信号安全之间的区别? 可重入:可以重复进入,不会引起问题(这个概念最宽) 线程安全:被多个线程使用时,不会出问题,也就是可以被多个进程重入(新函数和被终端和被中断的函数不在同 ...
- 《编程之美》读书笔记(十二):“只考加法的面试题”
作者:haykey(原博客地址:http://blog.csdn.net/haykey/archive/2008/10/29/3175373.aspx) 最近时日,从dangdang买了本MARA ...
- 《C#本质论》读书笔记(十二)构造器 @ Lennon
在C#里,很多人可能对属性这个概念很熟悉,平时属性是最常用到的.而我们很少会去用到构造器.而且很多人对构造器的一些概念还不是很熟悉,也有人认为属性等同于构造器.今天在这里谈谈构造器的声明.构造器重载. ...
- 《深入浅出DPDK》读书笔记(十六):DPDK应用篇(基于DPDK的存储软件优化:SPDK)
Table of Contents 基于DPDK的存储软件优化 180.基于以太网的存储系统 181.以太网存储系统的优化 SPDK介绍 182.SPDK介绍 (1)兼容性 (2)性能 183.用户态 ...
最新文章
- 【组队学习】【27期】青少年编程(Turtle)
- 我的2013-从GIS学生到GIS职业人的飞跃
- 开始学习3年前的东西——MCMS
- scanf(%c, ch)和scanf( %c, ch)和scanf(%s, str)的注意事项
- 【Java】计算8+88+888+8888+....前12项的和
- Matrix 高斯消元Gaussian elimination 中的complete pivoting和partial pivoting
- 设计模式之--单例模式
- JAVA入门[1]--安装JDK
- Android 组件的四种点击事件写法
- 台州银行笔试考什么_历年台州银行笔试和面试经验分享
- 使用ls筛选某一天的文件
- web端自动化测试1--selenium基础
- 继续教育公需课——人工智能技术及其发展趋势答案
- 三分钟极速搭建LP框架{{1019}}
- VC++操作Excel生成饼状图!
- 数据结构之图最短路径
- 别踩坑了,细数嵌入式板卡设计的常见问题
- 机房空调漏水原因和常用处理方法
- 2020-7-3中兴IC开发设计师 专业面,
- 教育评估机制急功近利阻碍创新 - 张亚勤