前端安全知识

• CSRF（Cross-site request forgery）跨站请求伪造

CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

一个典型的CSRF攻击有着如下的流程：

1.受害者登录a.com，并保留了登录凭证（Cookie）。
2.攻击者引诱受害者访问了b.com。
3.b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.com的Cookie。
4.a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。
5.a.com以受害者的名义执行了act=xx。
6.攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作。

CSRF的特点

1.攻击一般发起在第三方网站，而不是被攻击的网站。被攻击的网站无法防止攻击发生。
2.攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作；而不是直接窃取数据。
3.整个过程攻击者并不能获取到受害者的登录凭证，仅仅是“冒用”。
4.跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中，难以进行追踪。

防御策略

上文中讲了CSRF的两个特点：
1.CSRF（通常）发生在第三方域名。
2.SRF攻击者不能获取到Cookie等信息，只是使用。
对这两点，我们可以专门制定防护策略，如下：
阻止不明外域的访问
同源检测
Samesite Cookie
提交时要求附加本域才能获取的信息
CSRF Token
双重Cookie验证

• XSS（Cross Site Scripting）跨站脚本攻击

XSS攻击全称跨站脚本攻击，是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。

XSS攻击的危害

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击

XSS攻击的具体表现

1、JavaScript代码在表单输入框的注入
2、append的被利用
3、img标签的再次利用（onerror）

防御策略

（1）浏览器自带防御机制，主要应对反射型攻击（HTML内容或属性）：http响应头中自动添加x-xss-protection，值为0（关闭），1（打开），默认打开
（2）对特定字符做转义：内容注入替换尖括号（ < => < > => > ） 属性注入替换单引号或双引号（ " => " ’ => ’ ）
（3）CSP（Content Security Policy）内容安全策略：用于指定哪些内容可执行