Web前端的⿊客攻防技术是⼀一⻔非常新颖且有趣的⿊客技术,主要包含Web前端安全的跨站脚本(XSS)、 跨站请求伪造(CSRF)、界⾯面操作劫持、WebShell这⼏大类,涉及的知识点涵盖信任与非信任关系、Cookie 安全、Flash安全、DOM渲染、字符集、跨域、原⽣生态攻击、⾼级钓鱼、蠕虫思想等,这些都是研究前端安全的⼈人必备的知识点。

常见web安全问题

CSRF(跨站请求伪造)

CSRF的原理
防御
关于跨站请求伪造的防御手段有很多:

  1. 被⿊黑客抓包,捕获请求地址,直接修改参数

    安全级别 ✨

  2. 加⼊入验证码,判断Referer。 这些参数前端都是可以篡改的。

    安全级别 ✨✨✨

  3. 验证Token请求,每次动态刷新。

    安全级别 ✨✨✨✨

  4. 强验证码+动态Token请求

    安全级别 ✨✨✨✨✨

XSS(跨站脚本注入攻击)

恶意攻击者往 Web⻚⾯⾥插⼊入恶意Script代码,当⽤用户浏览该⻚页之时,嵌入其中Web⾥面的 Script代码会被执行,从而达到恶意攻击用户的目的。
XSS漏洞又分为几种类型:

  1. 反射型
    被动的⾮持久性XSS。诱骗用户点击短型URL,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,从⽽攻击用户。
  2. 持久型
    也叫存储型XSS——主动提交恶意数据到服务器,当其他用户请求后,服务器从数据库中查询数据并发给用户受到攻击。
  3. DOM型
    DOM通过html⼀个结构执行事件脚本。<img src=“xx” onerror=“”../>

防御

  1. 将输入输出都进行转义
  2. 响应头将cookie设置为HTTP Only
  3. CSP(Content-Security-Policy: default-src ‘self’)

🛏

黑客技术,简单地说,是对计算机系统和网络的缺陷和漏洞的发现,以及针对这些缺陷实施攻击的技术。这里说的缺陷,包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误,它是一个知识面高度宽泛的技术领域。