1.https://blog.csdn.net/u011394397/article/details/69389341

基于 DOM 的跨站點(diǎn)腳本編制

我們都聽(tīng)說(shuō)過(guò) XSS（Cross Site Script，跨站點(diǎn)腳本編制，也稱(chēng)為跨站腳本攻擊），指的是攻擊者向合法的 Web 頁(yè)面中插入惡意腳本代碼（通常是 HTML 代碼和 JavaScript 代碼）然后提交請(qǐng)求給服務(wù)器，隨即服務(wù)器響應(yīng)頁(yè)面即被植入了攻擊者的惡意腳本代碼，攻擊者可以利用這些惡意腳本代碼進(jìn)行會(huì)話劫持等攻擊?？缯军c(diǎn)腳本編制通常分為反射型和持久型：當(dāng)請(qǐng)求數(shù)據(jù)在服務(wù)器響應(yīng)頁(yè)面中呈現(xiàn)為未編碼和未過(guò)濾時(shí)，即為反射型跨站點(diǎn)腳本編制；持久型指的是包含惡意代碼的請(qǐng)求數(shù)據(jù)被保存在 Web 應(yīng)用的服務(wù)器上，每次用戶(hù)訪問(wèn)某個(gè)頁(yè)面的時(shí)候，惡意代碼都會(huì)被自動(dòng)執(zhí)行，這種攻擊對(duì)于 Web2.0 類(lèi)型的社交網(wǎng)站來(lái)說(shuō)尤為常見(jiàn)，威脅也更大。應(yīng)對(duì)跨站點(diǎn)腳本編制的主要方法有兩點(diǎn)：一是不要信任用戶(hù)的任何輸入，盡量采用白名單技術(shù)來(lái)驗(yàn)證輸入?yún)?shù)；二是輸出的時(shí)候?qū)τ脩?hù)提供的內(nèi)容進(jìn)行轉(zhuǎn)義處理。

但鮮為人知的是還有第三種跨站點(diǎn)腳本編制漏洞。 2005 年 Amit Klein 發(fā)表了白皮書(shū)《基于 DOM 的跨站點(diǎn)腳本編制—第三類(lèi)跨站點(diǎn)腳本編制形式》（"DOM Based Cross Site Scripting or XSS of the Third Kind"），它揭示了基于 DOM 的跨站點(diǎn)腳本編制不需要依賴(lài)于服務(wù)器端響應(yīng)的內(nèi)容，如果某些 HTML 頁(yè)面使用了 document.location、document.URL 或者 document.referer 等 DOM 元素的屬性，攻擊者可以利用這些屬性植入惡意腳本實(shí)施基于 DOM 的跨站點(diǎn)腳本編制攻擊。

2.https://www.eggjs.org/zh-CN/core/security 系統(tǒng)完整

Web 應(yīng)用中存在很多安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)會(huì)被黑客利用，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取網(wǎng)站內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得用戶(hù)受到侵害。常見(jiàn)的安全漏洞如下：

XSS 攻擊：對(duì) Web 頁(yè)面注入腳本，使用 JavaScript 竊取用戶(hù)信息，誘導(dǎo)用戶(hù)操作。
CSRF 攻擊：偽造用戶(hù)請(qǐng)求向網(wǎng)站發(fā)起惡意請(qǐng)求。
釣魚(yú)攻擊：利用網(wǎng)站的跳轉(zhuǎn)鏈接或者圖片制造釣魚(yú)陷阱。
HTTP 參數(shù)污染：利用對(duì)參數(shù)格式驗(yàn)證的不完善，對(duì)服務(wù)器進(jìn)行參數(shù)注入攻擊。
遠(yuǎn)程代碼執(zhí)行：用戶(hù)通過(guò)瀏覽器提交執(zhí)行命令，由于服務(wù)器端沒(méi)有針對(duì)執(zhí)行函數(shù)做過(guò)濾，導(dǎo)致在沒(méi)有指定絕對(duì)路徑的情況下就執(zhí)行命令。

3.https://cloud.tencent.com/developer/article/1744584?from=15425

Web安全---CSRF攻擊

4.https://www.zhihu.com/question/301253397

現(xiàn)在的前端框架全是通過(guò)API獲得數(shù)據(jù)，如何記錄用戶(hù)登錄狀態(tài)？