前端安全一直以來都是被容易忽略的知識點,因為放在前端的東西都能被用戶拿到,還談什么安全而言。也正是因為如此,我們才更應該為用戶的安全考慮我認為,防止黑客竊取用戶信息,從而損害用戶利益。
個人認為,最好的前端安全就是同源策略,瀏覽器已經幫我們做好了。我們要做的就是防止黑客鑽空子。下面來具體分析幾種前端攻擊:
XSS(Cross Site Scripting)跨站腳本攻擊
原理
HTML是一種超文本標記語言,通過將一些字符特殊地對待來區別文本和標記,例如,小於符號(<)被看作是HTML標簽的開始,
與之間的字符是頁面的標題等等。當動態頁面中插入的內容含有這些特殊字符(如<)時,用戶瀏覽器會將其誤認為是插入了HTML標簽,當這些HTML標簽引入了一段JavaScript腳本時,這些腳本程序就將會在用戶瀏覽器中執行。所以,當這些特殊字符不能被動態頁面檢查或檢查出現失誤時,就將會產生XSS漏洞。
XSS攻擊
攻擊類型
- 反射性XSS(非持久型XSS)
如果惡意用戶輸入一段javascript代碼作為查詢參數name的值:http://example.com/hello?name=<script>alert('你被攻擊了!');</script>,后端響應處理代碼:res.send = '<h1>Hello,'+query.name+'!</h1>' 。此時,客戶端接收的響應為<h1>Hello, <script>alert('你被攻擊了!');</script>!</h1>。因為把
