随着互联网的高速发展,安全问题已成为企业最关注的焦点之一。而前端又是容易引发安全问题的“窗口”,作为开发人员的我们,更需要充分了解如何预防和修复安全漏洞。本文将列举常见的前端安全问题,希望对你有所帮助。
本文将从以下几种安全问题展开介绍:
- XSS攻击
- CSRF攻击
- SQL注入
- XXE漏洞
- JSON劫持
- XST攻击
- 暴力破解
- 信息泄露
- 其他漏洞
1. XSS攻击
XSS攻击全称跨站脚本攻击(Cross-Site Scripting),为区别CSS,在安全领域叫做XSS。攻击者通过在目标网站上注入恶意脚本并运行,获取用户的敏感信息如 Cookie、SessionID等,影响网站与用户数据安全。
开始这种攻击的案例是跨域的,所以叫做“跨站脚本”。但是发展到今天,由于JS的强大以及网站前端应用的复杂化,是否跨域已经不再重要。但由于历史原因,XSS这个名字却一直保留下来。
本质是恶意代码未经过滤,与网站正常的代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本执行。
XSS攻击要素
1.攻击者提交恶意代码
2.浏览器执行恶意代码
XSS攻击分类
| 类型 |
存储区 |
插入点 |
| 反射型XSS |
URL |
HTML |
| 存储型XSS |
后端数据库 |
HTML |
| DOM型XSS |
后端数据库/前端存储/URL |
前端JS |
反射型XSS攻击
反射型XSS只是把用户输入的数据“反射”给浏览器,攻击者往往需要诱使用户操作一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)
存储型XSS攻击
存储型XSS会把用户输入的数据“存储”在服务器端,这种XSS具有很强的稳定性
比较常见的一个场景就是,黑客写下一篇包含有恶意JS代码的博客文章,发表后,所有访问该博客文章的用户都会在他们的浏览器中执行这段恶意的JS代码。黑客把恶意的脚本保
