(xss)跨站脚本攻击-(XSRF)跨站请求伪造

#危害:

网络钓鱼,包括窃取用户账号;
窃取用户cookies资料,从而获得用户隐私信息,或利用用户身份进一步对网站执行操作;
劫持用户会话,进行非法转账、强制发表日志、发送电子邮件等;
强制弹出广告、刷流量等;
恶意操作,删除文章等;

#XSRF跨站请求伪造

黑客通过劫持会话cookie来接管或冒充受害者的身份。当目标站点仅使用cookie对请求进行身份验证,从而允许黑客窃取或劫持cookie并假冒合法用户时,这是可能的。这种攻击可能导致帐户篡改,数据盗窃,欺诈等。目标包括社交媒体,浏览器内电子邮件客户端,在线银行和网络设备的Web界面以及Web应用程序。

可以增加图片验证/验证码验证/一次性令牌等等

#过滤URL非法SQL字符(可以简单的防止xss攻击)


  var sUrl = location.search.toLowerCase();

  var sQuery = sUrl.substring(sUrl.indexOf("=") + 1);

  re = /select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|<|%/i;

  if (re.test(sQuery)) {

    alert("请勿输入非法字符");

    location.href = sUrl.replace(sQuery, "");

  }

你可能感兴趣的:(安全,xss,前端)