前端安全-常见网络攻击方式及其原理与防御方法

前端安全

CSRF/XSRF攻击——跨站点请求伪造

原理：

1、利用客户端登录目标网站后存在的Cookie信息，第三方网站诱导用户在该网站下发起对目标网站服务器的请求。

2、而目标服务端未对请求做过滤或其他防护验证，就使得黑客利用用户的身份，成功完成与服务器的会话请求。

防御：

1、验证HTTP Referer字段：HTTP头中有Referer字段，记录了HTTP请求的来源地址。服务端可以通过验证该字段来判断请求是否是指定URL，而不是第三方网站。

2、HTTP请求头中添加token，token由用户第一次与服务端通信时，服务端返回。在后续的每次请求后，服务端验证该token可以判断是否为用户自愿的请求。

XSS攻击——跨站脚本攻击

原理：

1、利用客户端用户可输入的表单等控件，插入恶意的script代码，这些代码嵌入到web页面中被执行。

2、前后端未对用户输入内容进行过滤及验证，就存入输入库或渲染至页面。

类型：

反射型XSS、存储型XSS

防御：

1、拿vue举例：vue标签内本身对做了过滤，但是要做到慎用v-html属性。

2、写法上防止URL注入、样式注入。

3、服务端对请求的表单内容做过滤，可调用部分防XSS攻击库。