web安全——前端常见的安全问题有哪些？

XSS(Cross Site Scripting, 跨站脚本攻击)

这是前端最常见的攻击方式。举个栗子：我在一个博客网站正常发表一篇文章，输入汉字、图片和英文，完全没有问题。但是如果我写的是一段恶意的js脚本，例如获取网站的cookie然后传输到自己的服务器上，那我这篇博客的每一次浏览都会执行这个脚本，都会把访客的cookie带到我的服务器上来。

原理就是通过某种方式（发布文章、发布评论）将一段js代码隐秘的输入进去，然后别人再看这篇文章或者评论的时候，都会执行这段代码。JS代码一旦执行，那可就不受控制了，因为它跟网页原有的js代码有同样的权限。例如可以获取server端数据，可以获取cookie等，于是，攻击就这样发生了。

如何预防xss攻击？

XSS的危害

如果你的网站可以随意执行别人输入的js代码，轻则可能导致网页功能缺失，样式损坏，重则会造成用户的信息泄露。

还有利用获取cookie的形式，将cookie传入入侵者的网站上，入侵者就可以模拟cookie登录网站，对用户的信息进行篡改。

XSS这么厉害，我们该如何预防呢？

最根本的方式就是对用户输入的内容进行验证和替换。还可以对cookie进行较强的控制，比如对敏感的cookie可以添加http-only限制，让js获取不到cookie。要替换的字符有：

&替换为：&
<替换为： <
>替换为： >
"替换为： "
'替换为： '
/替换为： /

CSRF(Cross-site request forgery, 跨站请求伪造)

CSRF是借用了操作者的权限来偷偷的完成某个操作，而不是拿到用户的信息。

预防CSRF就是加入各个层级的权限验证，例如现在的购物网站，只要涉及到金钱交易，肯定要输入密码或者指纹才行。除此之外，敏感的接口使用POST而不是GET也是很重要的。