前端安全粗略总结

1.XSS

什么是XSS?

XSS是跨站脚本攻击(Cross-Site Scripting)的简称。
XSS的本质是浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行。

防御

对输入进行严格的数据编码。
设置CSP HTTP Header、输入验证、开启浏览器XSS防御。

参考文章

前端防御从入门到弃坑--CSP变迁
CSP Is Dead, Long Live CSP! 翻译

2.iframe

什么是iframe?

iframe是一个容器。该容器可以把另一个HTML页面嵌入到当前页面。
iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚本、Flash插件、弹出对话框等等,这可能会破坏前端用户体验。
iframe中的域名因为过期而被恶意攻击者抢注,iframe中的内容被替换掉了,从而利用用户浏览器中的安全漏洞下载安装木马、恶意勒索软件。

防御

使用iframe的sandbox的安全属性。

参考文章

HTML 元素参考