web前端安全

xss

xss是什么呢,说白了就是浏览器在不应该执行js的地方,被恶意插入了js代码,从而执行了一些本来不想执行的js代码。
既然是js代码,那就必须有路径进入
1,url
2,get post 请求
防范:
1, 从url获取的信息,前端进行对特殊字符进行转意和替换特殊字符,比如script
转换之后,浏览器就只会展示,但是不会执行这些脚本了。
2, 设置http-only

csrf

就是在用户登录的情况下,诱惑用户访问非法网站,然后自己带上cookie,去合理的请求非法信息。
防范:
1, 判断请求来源
2, 加一个额外的信息token,登录后的请求都带上token,隐藏一个token
3, 多长时间没有操作可以登出

HTTP劫持

使用ifram嵌入页面,ui 装饰来诱导用户点击
防范:
X-Frame-Options 禁止页面加载iframe,
或者设置ifame sanbox属性,把ifame的权限设置在最小的范围内。

一些设置

比如csp,设置可信来源,X-Content-Type-Options 浏览器解析类型,

你可能感兴趣的:(web前端安全)