參考文章:
8大前端安全問題(上)
8大前端安全問題(下)
前端安全系列(一):如何防止xss攻擊?
前端安全系列之二:如何防止csrf攻擊?
前端安全知多少 :
跨站指令碼大全:
核心:惡意指令碼注入
核心:利用使用者身份偽造請求
核心:廣告、彈框html注入
描述:當我們訪問頁面的時候,運營商在頁面的html**中,插入彈窗、廣告等html**,來獲取相應的利益
核心:視覺欺騙
描述:介面操作劫持是一種基於視覺欺騙的劫持攻擊。通過在頁面上覆蓋乙個iframe + opacity:0的頁面,讓使用者誤點選
核心:第三方漏洞
描述:框架及第三方依賴的安全漏洞
核心:攔截首次http通訊
描述:問題的本質在於瀏覽器發出去第一次請求就被攻擊者攔截了下來並做了修改,根本不給瀏覽器和伺服器進行https通訊的機會。大致過程如下,使用者在瀏覽器裡輸入url的時候往往不是從https://開始的,而是直接從網域名稱開始輸入,隨後瀏覽器向伺服器發起http通訊,然而由於攻擊者的存在,它把伺服器端返回的跳轉到https頁面的響應攔截了,並且代替客戶端和伺服器端進行後續的通訊
核心:敏感、機密資料
描述:前端儲存敏感、機密資訊易被洩露
核心:cdn資源劫持
描述:儲存在cdn中的靜態資源,攻擊者劫持了cdn,或者對cdn中的資源進行了汙染
核心:檔案型別限制
描述:檔案字尾及檔案內容沒有嚴格限制
核心:檔案型別、目錄限制
前端常見安全漏洞簡單說明
一 csrf 跨站偽造請求 cross site request forgery 場景 登入系統後,點選了頁面上的未知鏈結 釣魚 釣魚 就會主動向你的 發起請求,這個時候你的登入態還是存在的,因為瀏覽器的不同程序之間可以共享登入態,所以釣魚 這個時候是可以順利以你的身份任意訪問你的 的介面。預防 目...
常見應用安全漏洞
1.注入 注入攻擊漏洞,例如sql os ldap注入。這些攻擊發生在當不可信的資料作為命令或查詢語句的一部分,被傳送給直譯器的時候,攻擊者傳送的惡意資料可以欺騙直譯器,以執行計畫外的命令或未授權的查詢。2.失效的身份認證和會話管理 與身份認證和會話管理相關的應用程式功能往往得不到正確的實現,這就導...
常見Web安全漏洞
不同許可權賬戶之間的存在越權訪問 檢測防範 1伺服器端必須對每個頁面鏈結進行許可權判斷。2使用者登陸後,伺服器端不應再以客戶端提交的使用者身份資訊為依據,而應以會話中服務端儲存的已登陸的使用者身份資訊為準。3頁面提交的資源標誌與已登陸的使用者身份進行匹配比對,然後判斷其對當前鏈結是否有許可權。4必須...