最近“网络安全”这个词被多次挑动。不管你知不知道,以下这几件事儿还是发生了。
- 滴滴打车某人打车页面跳转到了黄色网站
网络发展日臻鼎盛,现在说 Internet 是第四次工业革命。网络安全问题也由此产生。
开发者不可能确保自己的应用绝对无法被攻击,但是只要攻击我们的时候,黑客花费的成本远比他可以获取的利益大得多,黑客就不会去攻击。
一、前端攻击都有哪些形式
XSS攻击
脚本注入攻击,主要来源于可以执行JavaScript代码的用户输入。
- 输入框嵌入
<script>脚本 - URL 嵌入
<script>脚本 - img 嵌入
<script>脚本 - $.append方法嵌入
<script>脚本
会导致用户cookie信息泄露
主要防范方式为
- 输入内容转义
- 设置httpOnly 使得 cookie只有http能够访问
XSRF/CSRF 攻击
跨站脚本攻击,网站中的一些提交行为,被黑客利用,你在访问黑客的网站的时候,进行的操作,会被操作到其他网站上
主要来源于
- 携带业务特性参数的GET 请求
- 被隐藏和伪造的POST 请求
导致用户不知情的情况下对其他网站接口进行了提交。
主要防范方式为
- 使用验证码
- 使用唯一的session作为接口校验规则
网络劫持
钓鱼网站
通过引诱文字(抽奖、美女、热点)将用户引导到伪造的网页,这个网页会高仿高知名度的网站,用户在没有区分能力,尤其是移动端时,会不小心点入,并输入用户名密码进行登录,此时便将用户名发到了黑客的服务器。
良心的黑客会让你登录两遍以后给你链接到源页面的登录错误网页。
我该如何防范?
- 提防用户自己生产内容,对表单进行验证
- 对服务器传入的内容进行转义输出,大部分框架已经集成了这个功能
- 重要的用户数据要进行加密,使用HTTPS传送或者使用RSA加密
- 规范使用POST/GET请求,原则上,有用户数据的部分统一使用POST
- 时刻提醒自己的网络不安全