【安全-前端】XSS、XSRF
XSS跨站请求攻击
一个博客网站,我发表了一篇文章,其中嵌入了<script>脚本
脚本内容:获取cookie,发送到我的服务器(服务器配合跨域)
发布了这篇博客,当有人查看他,我就能轻松收割访问者的cookie
XSS预防
替换特殊字符,如< 变为 < > 变为 >
<script>变为<script>,直接显示,而不会作为脚本进行执行
前端要替换,后端也要替换,都做总不会有错;
另外我们可以利用第三方工具xss 类库https://www.npmjs.com/package/xss进行替换处理
XSRF跨站请求伪造
你正在购物,看中了某件商品,商品的id是1
付费接口是xxx.com/pay?id=1,但是没有任何验证
我会攻击者,看中了一个商品,id是2
想法:想借用的身份,给我买
操作方法:
我向你发送一封电子邮件,邮件标题很吸引人
但邮件正文隐藏着<img src="xxx.com/pay?id=2" />
你一查看邮件,就帮我购买了id是200的商品
XSRF预防
使用post接口
增加验证,密码、短信验证码、指纹等
【安全-前端】XSS、XSRF相关推荐
- XSS XSRF 介绍与防范
XSS Definition 存储型 XSS 反射型 XSS DOM 型 XSS DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 ...
- 前端xss攻击的原理
概念说明 Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信 ...
- 前端XSS 过滤--亲测有效
// XSS 过滤 filterXSS: function (str) { return str .replace(/&/g ...
- 辉太郎看前端(xss,sql,CSRF)
前言 网络安全也是开发过程中我们必须要考虑的. xss xss全称(cross-site scripting),xss攻击方式是攻击者往web页面里边插入恶意html或者javascript代码. 防 ...
- HCL AppScan Standard扫描有关前端Xss安全报告处理
报告问题描述 1."X-Content-Type-Options"头缺失或不安全 2. "X-XSS-Protection"头缺失或不安全 3. HTTP St ...
- 前端技术学习路线及技术汇总
第一阶段网页开发基础 首先从以下几个方面了解web: 一.Web的概述 1.万维网的发展 2.浏览器与服务器 3.网页与网站 4.域名与主机 5.HTTP协议 6.W3C标准 需要了解的核心是:浏览器 ...
- 写给自己,梳理一下我现在对前端知识结构的理解
前排小广告:前端自学互助交流群:240528099 今天想着做一件事情,给自己的收藏夹分类.结果做着做着,发现这个任务的工作量超乎我的想象.有一些文章,可能很难界定说,它是哪一类的:而且自己还没有特别 ...
- 站点的安全防范都是后端的职责?非也,Web前端安全同样不可忽视
前言 随着网络的快速普及,网络安全问题的受害者不再只是政府.企业等集体,每一个接触网络的普通人都有可能成为网络攻击的受害者.随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂.以网站的攻击为例 ...
- 前端最实用书签(持续更新)
前言 一直混迹社区,突然发现自己收藏了不少好文但是管理起来有点混乱; 所以将前端主流技术做了一个书签整理,不求最多最全,但求最实用. 书签源码 书签导入浏览器效果截图 书签源码请戳github地址 C ...
- 如何防止XSS攻击?
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点.在移动互联网时代,前端人员除了传统的 XSS.CSRF 等安全问题之外,又时常遭遇网络劫持. ...
最新文章
- ubunntu安装php7.0_在 Ubuntu/Debian 下安装 PHP7.3 教程
- python之互斥锁
- 2021年春季学期-信号与系统-第十三次作业参考答案-第十小题
- php 变成 25,2020-09-25 PHP变量介绍
- python考证书-python能考证么
- 认识计算机ppt封面,认识计算机.ppt
- php 汉字转拼音类,PHP汉字转换拼音的类_php
- 【精品计划 附录2】- 算法分析
- python运维常用脚本
- [转][darkbaby]任天堂传——失落的泰坦王朝(上)
- 常用Excel函数使用示例(分列、VLOOKUP、COUNTIF、AND、绝对引用等)
- 使用360安全卫士对计算机进行体检,360安全卫士使用教程 电脑体检
- 非线性优化问题---MATLAB
- 进制转换之2进制与16进制之间的相互转换
- Golang FORM相关字段理解
- MapWinGIS4.9.3的二次开发
- 一连串数字怎么转换成二维码?数字生成二维码如何制作?
- hive数仓、数据中台数据核对的方法
- Excel按类别进行自动编号
- 平台卡卷API文档分享
热门文章
- python绘制时间序列图_python matplotlib 画dataframe的时间序列图实例
- 巧用Photoshop路径造型做连体字特效
- 求两个字符串的LCS(最长公共子串)后缀数组
- 怀念旧时那一丝丝温暖的味道
- 11-标准库fmt以及文件操作
- Could not resolve view with name 'xxx' in servlet with name 'dispatcherServlet',
- Scrapy框架流程图详解
- 怎么找到python的安装目录_怎么查看python的安装目录呢
- 探究MATLAB循环语句内部的变量
- Jquery的 each的使用 $.each()