前端面臨的安全問題

當(dāng)前隨著前端技術(shù)以及應(yīng)用的快速發(fā)展安全問題越來越不多被忽視，常見的前端攻擊手段有XSS以及XSRF等。

XSS攻擊

XSS全稱cross-site scripting，中文名為跨站腳本攻擊，即通過一定的手段將帶有一定危險(xiǎn)的js代碼提交到服務(wù)器上，當(dāng)服務(wù)器執(zhí)行或者顯示這些數(shù)據(jù)的時(shí)候就會(huì)出現(xiàn)一系列的問題。

XSS最大的害處就是盜取cookie，通過提交有害代碼顯示目標(biāo)用戶的cookie，比如document.cookie。

XSS的常用攻擊手段

• 反射型：將xss代碼通過url注入；
• 存儲(chǔ)型：將xss代碼保存到服務(wù)器中，在顯示的時(shí)候會(huì)報(bào)錯(cuò)；

XSS的防范手段

• encode傳遞參數(shù)：比如&轉(zhuǎn)義成&，"轉(zhuǎn)義成"，'轉(zhuǎn)義成&#39，以及</>等；
• filter：對(duì)富文本的過濾，即包含大量html標(biāo)簽的過濾；
• Content-Security-Policy：XSS的根本解決方法；
• XSS：cross-site scripting ，跨域腳本攻擊，不需要登錄；

XSRF攻擊

XSRF又稱為CSRF(cross-site request forgery)，中文名為跨站請(qǐng)求偽造，它的主要攻擊方式就是利用用戶的登錄狀態(tài)悄悄提交各種信息，比如釣魚網(wǎng)站等。

防范手段

• referer：利用header中的referer，但這種手段并不可靠，因?yàn)橛行g覽器或者app限制了這個(gè)字段；
• token：有服務(wù)器端生成并發(fā)送給客戶端，在客戶端每次提交之前都要傳送token；

補(bǔ)充知識(shí)

• cookie組成：1. domain，2. path，3. expires，4. secure，5. key-value；
• 單個(gè)域名下cookie的最大數(shù)量：30-50；
• 單個(gè)cookie的存儲(chǔ)上限：4K；