前端安全-常见网络攻击方式及其原理与防御方法

前端安全

CSRF/XSRF攻击——跨站点请求伪造
原理:

1、利用客户端登录目标网站后存在的Cookie信息,第三方网站诱导用户在该网站下发起对目标网站服务器的请求。

2、而目标服务端未对请求做过滤或其他防护验证,就使得黑客利用用户的身份,成功完成与服务器的会话请求。

防御:

1、验证HTTP Referer字段:HTTP头中有Referer字段,记录了HTTP请求的来源地址。服务端可以通过验证该字段来判断请求是否是指定URL,而不是第三方网站。

2、HTTP请求头中添加token,token由用户第一次与服务端通信时,服务端返回。在后续的每次请求后,服务端验证该token可以判断是否为用户自愿的请求。

XSS攻击——跨站脚本攻击
原理:

1、利用客户端用户可输入的表单等控件,插入恶意的script代码,这些代码嵌入到web页面中被执行。

2、前后端未对用户输入内容进行过滤及验证,就存入输入库或渲染至页面。

类型:

反射型XSS、存储型XSS

防御:

1、拿vue举例:vue标签内本身对做了过滤,但是要做到慎用v-html属性。

2、写法上防止URL注入、样式注入。

3、服务端对请求的表单内容做过滤,可调用部分防XSS攻击库。

你可能感兴趣的:(前端安全,js,cookie,csrf,xss,网络安全)