前端之安全部分

XSS
跨站(域)脚本攻击,攻击者在web页面插入恶意script代码,当用户在浏览该页时,被嵌入的script代码自动执行,从而达到恶意攻击用户的目的。
分为存储型(会将用户输入的数据信息存储在服务器端,有很强的稳定性)与反射型(需要用户点击一个链接才能攻击成功,只是简单地将用户输入的数据信息反射给浏览器,非持久型)。
常表现为打后台(请求信息发送到服务端,后台未做处理会直接执行脚本)或钓鱼url

CSRF
跨站请求伪造,利用一个看起来正常的链接(a.com/a.html),暗中发送一个指向关于财产的(b.com/tran)的post请求,从而实现恶意攻击用户,前提是客户端必须一个网站生成cookie凭证存储在浏览器中,且该cookie未清除,客户端又tab一个页面进行访问。
防御:

  • 验证码(并不是所有操作都要加验证码,可能会导致用户体验不好);
  • 验证Http Referer字段(检查referer来源,只有自己域名下的才能通过,缺陷服务器并非什么时候都可以取到referer,如
    https);
  • anti CSRF Token(使用cookie值加密,Token生成一定要随机)

DDOS
分布式拒绝服务攻击,利用“”僵尸网络“(数量庞大的僵尸程序通过一定方式组合,采用一对多的方式控制大型网络,控制者发布指令后,断开与僵尸网络的连接,控制指令会自动在僵尸程序间传播执行)控制多台计算机设备攻击一个站点,使正常请求无法访问该站点,攻击流量较大时,该服务器会挂掉。
主要攻击方法:

  • 攻击带宽(当网络数据包的数量达到或超过上限时,会出现网络拥堵、响应缓慢的情况,利用该原理,使用反射攻击(源IP地址被伪造成攻击目标的IP)发送大量数据包来占满被攻击目标的带宽,造成正常请求失效,达到拒绝);
  • 攻击系统(TCP三次握手信息会存储在连接表中,但表的大小有限,超过存储容量时,无法建立新的TCP连接。建立大量恶意TCP连接或发送大量TCP
    SYN报文(服务器在短时间内产生大量半开连接)占满连接表,使得无法
    建立新的TCP连接,后者为SYN洪水攻击);
  • 攻击应用(向DNS服务器发送大量查询请求(若每个DNS解析请求所查询的域名不同,可有效避开服务器缓存的解析记录,达到更好的资源消耗)或不断向WEB服务器发送大量HTTP请求(要求WEB服务器处理,会完全占用服
    务器资源)来达到拒绝服务器);
  • 混合攻击(UDP及反射式大流量高速攻击,多协议及小流量慢速攻击)

    防御:设置高性能设备、保证带宽、及时升级、异常流量清洗、分布式集群防御等。

    刚开始学习,如有说的不对或不完善的,请指正!

你可能感兴趣的:(前端安全,前端,安全,ssr)