前端安全

Posted jingouli

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了前端安全相关的知识,希望对你有一定的参考价值。

https:

http可以被劫持、可以被篡改;

 

CSP:

network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可以组织插件的行为;4.可以限制其他网站把自己的网页当成iframe:例如一个网页把github设为iframe,会报错(还有一个属性:X-Frame-Options),

 

XSS:

1.存储型:会把内容存储到数据库,

2.反射型:url?id=123,例如谷歌?q=xxx会直接搜索xxx,

3.Dom-based:利用dom本身的一些缺陷导致的问题

network->Headers->Response Headers->X-XSS-Protection(防反射型):

X-XSS-Protection:0

X-XSS-Protection:1(默认)

X-XSS-Protection:1;mode=block;(组织)

X-XSS-Protection:1;report=<reporting-url>(被攻击时上报,只在chrome有效)

 

CSRF:

跨站的脚本攻击。比如支付宝有一个查询余额的接口,现在有支付宝的登录态,假如支付宝没有做CSRF的防范,其他网站可能可以发起跨域请求获取信息。

真正的防范是用token。

 

 

network中的Doc是站点的第一个请求

以上是关于前端安全的主要内容,如果未能解决你的问题,请参考以下文章

前端安全系列:如何防止XSS攻击?

前端安全问题及解决办法

前端安全知多少

前端安全系列之如何防止 XSS 攻击?

从一次攻击看前端安全问题

前端安全系列之二:如何防止CSRF攻击?