JavaScript常见安全漏洞、Web 安全

1.https://blog.csdn.net/u011394397/article/details/69389341

基于 DOM 的跨站点脚本编制

我们都听说过 XSS（Cross Site Script，跨站点脚本编制，也称为跨站脚本攻击），指的是攻击者向合法的 Web 页面中插入恶意脚本代码（通常是 HTML 代码和 JavaScript 代码）然后提交请求给服务器，随即服务器响应页面即被植入了攻击者的恶意脚本代码，攻击者可以利用这些恶意脚本代码进行会话劫持等攻击。跨站点脚本编制通常分为反射型和持久型：当请求数据在服务器响应页面中呈现为未编码和未过滤时，即为反射型跨站点脚本编制；持久型指的是包含恶意代码的请求数据被保存在 Web 应用的服务器上，每次用户访问某个页面的时候，恶意代码都会被自动执行，这种攻击对于 Web2.0 类型的社交网站来说尤为常见，威胁也更大。应对跨站点脚本编制的主要方法有两点：一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；二是输出的时候对用户提供的内容进行转义处理。

但鲜为人知的是还有第三种跨站点脚本编制漏洞。 2005 年 Amit Klein 发表了白皮书《基于 DOM 的跨站点脚本编制—第三类跨站点脚本编制形式》（"DOM Based Cross Site Scripting or XSS of the Third Kind"），它揭示了基于 DOM 的跨站点脚本编制不需要依赖于服务器端响应的内容，如果某些 HTML 页面使用了 document.location、document.URL 或者 document.referer 等 DOM 元素的属性，攻击者可以利用这些属性植入恶意脚本实施基于 DOM 的跨站点脚本编制攻击。

2.https://www.eggjs.org/zh-CN/core/security 系统完整

Web 应用中存在很多安全风险，这些风险会被黑客利用，轻则篡改网页内容，重则窃取网站内部数据，更为严重的则是在网页中植入恶意代码，使得用户受到侵害。常见的安全漏洞如下：

XSS 攻击：对 Web 页面注入脚本，使用 JavaScript 窃取用户信息，诱导用户操作。
CSRF 攻击：伪造用户请求向网站发起恶意请求。
钓鱼攻击：利用网站的跳转链接或者图片制造钓鱼陷阱。
HTTP 参数污染：利用对参数格式验证的不完善，对服务器进行参数注入攻击。
远程代码执行：用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令。

3.https://cloud.tencent.com/developer/article/1744584?from=15425

Web安全---CSRF攻击

4.https://www.zhihu.com/question/301253397

现在的前端框架全是通过API获得数据，如何记录用户登录状态？