前端网络安全

常见的Web前端攻击手段或方法

1.XSS（跨站脚本攻击）

XSS又叫CSS（Cross Site Script），跨站脚本攻击：攻击者在目标网站植入恶意脚本（js / html），用户在浏览器上运行时可以获取用户敏感信息（cookie / session）、修改web页面以欺骗用户、与其他漏洞相结合等。

// 正常提交
 http://www.a.com/test.php?param=这是一个测试!

攻击者发现页面上有这样的代码，则可以构建如下的URL：

 http://www.a.com/test.php?param=

以这样的方式，攻击者在目标网站上就注入了一个外部的JavaScript文件，如果攻击者在这个外部文件中编写恶意的代码，比如取得Cookie信息等，就可控制用户在被攻击网站上的账号权限了。

XSS攻击的特点就是：尽一切办法在目标网站上执行非目标网站上原有的脚本。

防御措施（对用户输入内容和服务端返回内容进行过滤和转译）

1.避免内联事件，尽量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 这种拼接内联事件的写法。
2.避免拼接 HTML，前端采用拼接 HTML 的方法比较危险，如果框架允许，使用 createElement、setAttribute 之类的方法实现。
3.HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie。
4.对数据进行严格的输出编码,