实习第六十四天（前端的攻击方式及预防）

参考前端常见的攻击方式及预防方法
前端面临的攻击，以及应对方案
九大前端安全问题

1、SCRF

2、老生常谈的XSS

3、警惕iFrame带来的风险

4、别被点击劫持了

5、恶意文件上传这个常见安全问题

6、防火防盗防猪队友：不安全的第三方依赖包

7、用了HTTPS也可能掉坑里

8、本地存储数据泄露

9、缺失静态资源完整性校验

1.XSS (Cross Site Script) ，跨站脚本攻击
危害：
网络钓鱼，包括窃取用户账号；
窃取用户cookies资料，从而获得用户隐私信息，或利用用户身份进一步对网站执行操作；
劫持用户会话，进行非法转账、强制发表日志、发送电子邮件等；
强制弹出广告、刷流量等；
恶意操作，删除文章等；
网页挂马；
传播跨站脚本蠕虫等
2.CSRF(Cross Site Request Forgery)，跨站点伪造请求。
攻击者通过各种方法伪造一个请求，模仿用户提交表单的行为，从而达到修改用户的数据，或者执行特定任务的目的。
解决的思路有:

• 1.采用POST请求,增加攻击的难度.用户点击一个链接就可以发起GET类型的请求。而POST请求相对比较难，攻击者往往需要借助javascript才能实现。
• 2.对请求进行认证，确保该请求确实是用户本人填写表单并提交的，而不是第三者伪造的.具体可以在会话中增加token,确保看到信息和提交信息的是同一个人。

3.Http Heads攻击
HTTP协议在Response header和content之间，有一个空行，即两组CRLF（0x0D 0A）字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到headers中，这种攻击就可以发生。