欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

前端网站安全问题

程序员文章站 2022-07-07 18:36:47
...

攻击类型

xss攻击

XSS攻击全称跨站脚本攻击,是一种网站攻击受信任用户的脚本攻击;

举例:
网站A有一个输入框,用户A利用这个输入框编写了具有攻击性的代码,并且上传到了服务器,用户B通过网站A浏览页面时,攻击性代码运行,从而达到攻击的目的;

安全防范:
网站服务器做到:上传验证,输出编码
上传验证:前端通过加密的形式上传内容,后端通过解密来验证内容的安全性,防止攻击代码的上传
输出编码:服务器返回数据之前通过特定的编码格式处理,防止攻击代码在信任用户的页面直接运行

CSRF跨站请求伪造

CSRF是一种对网站的恶意利用,攻击者通过伪装向服务器发起请求,欺骗服务器,从而达到攻击的目的;

举例:
网站A是一个正式网站,用户B是网站A的信任用户,用户B登录网站后保存信任凭证在cookie,攻击者通过一些手段获取到这个cookie,然后利用cookie向服务器发送非法请求,因为cookie的存在,这些请求在服务器看来都是合法的;
安全防范:
通过加密形式生成特定的参数,并携带在请求中(自定义请求头或者自定义参数),服务器通过验证该参数来判断请求是否来着信任的用户;

sql注入

sql注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

举例:
某网站的登录页面,用户输入用户名或者密码时输入 “-- 攻击性sql语句”,如果服务器端没有处理,-- 符号会在执行sql语句时把原来的代码注释,从而执行用户输入的代码
安全防范:
前端在输入框是应该严格验证用户输入内容格式和长度;服务器端做好相应的防范

上传漏洞

上传漏洞是指用户通过上传功能,把攻击性文件上传到服务器,就是通常说的木马

安全防范
前端上传时验证文件的后缀名称,但是前端验证不能完全防范上传漏洞,攻击者可以通过插件或者代码绕过前端的验证,所以需要服务器端的配合