最新公告
  • 欢迎您光临起源地模板网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入钻石VIP
  • 前端安全性问题

    正文概述 掘金(木卫三)   2021-01-08   668

    XSS

    XSS是什么

    XSS(跨站脚本攻击)是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
    比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。
    这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。
    对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

    示例:
    <script>alert(document.cookie)</script>
    

    特点

    能注入恶意的HTML/JavaScript代码到用户浏览的网页上,从而达到Cookie资料窃取、会话劫持、钓鱼欺骗等攻击。 <攻击代码不一定(非要)在 中>

    原因

    • Web浏览器本身的设计不安全。浏览器能解析和执行JS等代码,但是不会判断该数据和程序代码是否恶意。

    • 输入和输出是Web应用程序最基本的交互,而且网站的交互功能越来越丰富。如果在这过程中没有做好安全防护,很容易会出现XSS漏洞。

    • 程序员水平参差不齐,而且大都没有过正规的安全培训,没有相关的安全意识。

    • XSS攻击手段灵活多变。

    危害

    • 盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
    • 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
    • 盗窃企业重要的具有商业价值的资料
    • 非法转账
    • 强制发送电子邮件
    • 网站挂马
    • 控制受害者机器向其它网站发起攻击

    如何防范

    • 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
    • 表单数据规定值的类型,例如:年龄应为只能为int、name只能为字母数字组合。。。。
    • 对数据进行Html Encode 处理
    • 过滤或移除特殊的Html标签, 例如:
    • 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

    参考资料:
    www.cnblogs.com/phpstudy201…
    www.cnblogs.com/443855539-w…
    baike.baidu.com/item/XSS%E6…

    CSRF

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

    特点

    • 依靠用户标识危害网站
    • 利用网站对用户标识的信任
    • 欺骗用户的浏览器发送HTTP请求给目标站点
    • 另外可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击。

    防御

    • 通过referer、token或者验证码来检测用户提交。
    • 尽量不要在页面的链接中暴露用户隐私信息。
    • 对于用户修改删除等操作最好都使用post操作 。
    • 避免全站通用的cookie,严格设置cookie的域。

    起源地下载网 » 前端安全性问题

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    模板不会安装或需要功能定制以及二次开发?
    请QQ联系我们

    发表评论

    还没有评论,快来抢沙发吧!

    如需帝国cms功能定制以及二次开发请联系我们

    联系作者

    请选择支付方式

    ×
    迅虎支付宝
    迅虎微信
    支付宝当面付
    余额支付
    ×
    微信扫码支付 0 元