前端開(kāi)發(fā)中的常見(jiàn)安全問(wèn)題介紹
發(fā)布時(shí)間:2021-10-17 11:30
來(lái)源:csdn
閱讀:0
作者:V
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
常見(jiàn)問(wèn)題介紹:
(學(xué)習視頻分享:)
1�、跨站腳本攻擊(XSS攻擊)
XSS(Cross Site Scripting)����,跨站腳本攻擊����。XSS是常見(jiàn)的Web攻擊技術(shù)之一.所謂的跨站腳本攻擊指得是:惡意攻擊者往Web頁(yè)面里注入惡意Script代碼�����,用戶(hù)瀏覽這些網(wǎng)頁(yè)時(shí)���,就會(huì )執行其中的惡意代碼�,可對用戶(hù)進(jìn)行盜取cookie信息��、會(huì )話(huà)劫持等各種攻擊.
解決方案:
(1) 輸入過(guò)濾�����。永遠不要相信用戶(hù)的輸入��,對用戶(hù)輸入的數據做一定的過(guò)濾�����。如輸入的數據是否符合預期的格式�,比如日期格式����,Email格式�����,電話(huà)號
碼格式等等����。這樣可以初步對XSS漏洞進(jìn)行防御��。上面的措施只在web端做了限制���,攻擊者通抓包工具如Fiddler還是可以繞過(guò)前端輸入的限制�����,修改請求注入攻擊腳本���。
因此�����,后臺服務(wù)器需要在接收到用戶(hù)輸入的數據后���,對特殊危險字符進(jìn)行過(guò)濾或者轉義處理���,然后再存儲到數據庫中����。(2) 輸出編碼����。服務(wù)器端輸出到瀏覽器的數據����,
可以使用系統的安全函數來(lái)進(jìn)行編碼或轉義來(lái)防范XSS攻擊�����。在PHP中���,有htmlentities()和htmlspecialchars()兩個(gè)函數可以滿(mǎn)足安全要求���。相應的JavaScript的編
碼方式可以使用JavascriptEncode����。(3) 安全編碼�。開(kāi)發(fā)需盡量避免Web客戶(hù)端文檔重寫(xiě)�、重定向或其他敏感操作���,同時(shí)要避免使用客戶(hù)端數據����,這些操作需盡量在服
務(wù)器端使用動(dòng)態(tài)頁(yè)面來(lái)實(shí)現��。(4) HttpOnly Cookie����。預防XSS攻擊竊取用戶(hù)cookie最有效的防御手段��。Web應用程序在設置cookie時(shí)�,將其屬性設為HttpOnly��,
就可以避免該網(wǎng)頁(yè)的cookie被客戶(hù)端惡意JavaScript竊取�����,保護用戶(hù)cookie信息���。(5)WAF(Web Application Firewall)����,Web應用防火墻�����,主要的功能是防范諸如網(wǎng)頁(yè)木馬����、
XSS以及CSRF等常見(jiàn)的Web漏洞攻擊�。由第三方公司開(kāi)發(fā)���,在企業(yè)環(huán)境中深受歡迎�。
2���、跨站請求偽造(CSRF攻擊)
CSRF(Cross Site Request Forgery)�,即跨站請求偽造��,是一種常見(jiàn)的Web攻擊�,但很多開(kāi)發(fā)者對它很陌生�����。CSRF也是Web安全中最容易被忽略的一種 網(wǎng)站攻擊
CSRF攻擊的原理:CSRF攻擊過(guò)程的受害者用戶(hù)登錄網(wǎng)站A��,輸入個(gè)人信息����,在本地保存服務(wù)器生成的cookie����。然后在A(yíng)網(wǎng)站點(diǎn)擊由攻擊者構建一條惡意鏈接跳轉到
B網(wǎng)站, 然后B網(wǎng)站攜帶著(zhù)的用戶(hù)cookie信息去訪(fǎng)問(wèn)B網(wǎng)站.讓A網(wǎng)站造成是用戶(hù)自己訪(fǎng)問(wèn)的假相,從而來(lái)進(jìn)行一些列的操作,常見(jiàn)的就是轉賬.
解決方案:
(1) 驗證碼�����。應用程序和用戶(hù)進(jìn)行交互過(guò)程中���,特別是賬戶(hù)交易這種核心步驟���,強制用戶(hù)輸入驗證碼��,才能完成最終請求����。在通常情況下�����,驗證碼夠很好地遏制
CSRF攻擊���。但增加驗證碼降低了用戶(hù)的體驗�,網(wǎng)站不能給所有的操作都加上驗證碼���。所以只能將驗證碼作為一種輔助手段����,在關(guān)鍵業(yè)務(wù)點(diǎn)設置驗證碼�。(2) Referer Check��。
HTTP Referer是header的一部分���,當瀏覽器向web服務(wù)器發(fā)送請求時(shí)�,一般會(huì )帶上Referer信息告訴服務(wù)器是從哪個(gè)頁(yè)面鏈接過(guò)來(lái)的��,服務(wù)器籍此可以獲得一些信息用于處
理����??梢酝ㄟ^(guò)檢查請求的來(lái)源來(lái)防御CSRF攻擊���。正常請求的referer具有一定規律��,如在提交表單的referer必定是在該頁(yè)面發(fā)起的請求�。所以通過(guò)檢查http包頭referer的值
是不是這個(gè)頁(yè)面���,來(lái)判斷是不是CSRF攻擊�����。但在某些情況下如從https跳轉到http����,瀏覽器處于安全考慮����,不會(huì )發(fā)送referer��,服務(wù)器就無(wú)法進(jìn)行check了���。若與該網(wǎng)站同域的
其他網(wǎng)站有XSS漏洞����,那么攻擊者可以在其他網(wǎng)站注入惡意腳本���,受害者進(jìn)入了此類(lèi)同域的網(wǎng)址����,也會(huì )遭受攻擊�。出于
