前端安全

https:

http可以被劫持、可以被篡改;

*是安全的基础

 

CSP:

network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可以阻止插件的行为;4.可以限制其他网站把自己的网页当成iframe:例如一个网页把github设为iframe,会报错(还有一个属性:X-Frame-Options)

*主要就是配置可信的源

 

XSS:

1.存储型:会把内容存储到数据库,

2.反射型:url?id=123,例如谷歌?q=xxx会直接搜索xxx,

3.Dom-based:利用dom本身的一些缺陷导致的问题

network->Headers->Response Headers->X-XSS-Protection(防反射型):

X-XSS-Protection:0

X-XSS-Protection:1(默认)

X-XSS-Protection:1;mode=block;(阻止)

X-XSS-Protection:1;report=(被攻击时上报,只在chrome有效)

 

CSRF:

跨站的脚本攻击。比如支付宝有一个查询余额的接口,现在有支付宝的登录态,假如支付宝没有做CSRF的防范,其他网站可能可以发起跨域请求获取信息。

真正的防范是用token。

 

 

network中的Doc是站点的第一个请求

你可能感兴趣的:(前端安全)