前端中常見的安全性問題主要有四種:xss攻擊(跨站指令碼攻擊)、csrf(跨站請求偽造)、sql注入和檔案上傳漏洞
一、xxs攻擊(cross site scripting)(跨站指令碼攻擊):使用者寫一些惡意的js**,來執行一些可以的行為,盜取cookie資訊、會話攻擊
解決方案:
1.輸入過濾:在js中對使用者輸入的資料進行過濾
2.將輸出的字串中的反斜槓進行轉義
3.從url中獲取的資訊,在前端進行轉義後再輸出
4.使用cookie的onlyhttp屬性
二、csrf(跨站請求偽造):以使用者的名義偽造請求傳送給被攻擊站點,從而在未授權的情況下進行許可權保護的操作。
解決方案:
1.驗證碼:強制使用者輸入驗證碼,才能完成最終請求,
三、sql注入:應用程式在向後台資料庫傳遞sql時,攻擊者將sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行的惡意sql命令。
解決方案:
1.防止系統敏感資訊洩露:該方法主要是在後台實現
2.資料轉義
3.增加黑名單或白名單驗證
四、檔案上傳漏洞
解決方案:
1.檢查伺服器是否判斷了上傳檔案型別及字尾
2.定義上傳檔案型別白名單
3.檔案上傳目錄禁止執行指令碼解析
前端安全問題及解決
xss安全漏洞 xss漏洞修復 function filterxss str,regexp var regex gi 去除包含 內容的,防止xss漏洞 var filtervalue str.replace g,去除 開頭型別的xss漏洞 filtervalue str.replace csrf安全...
執行緒安全問題解決方案
實現賣票案例出現了執行緒安全問題,賣出了不存在和重複的票 解決執行緒安全的第一種方法 使用同步 塊 格式 synchronized 鎖物件 注意 1.同步 塊中的鎖物件,可以使用任意物件 2.但是必須保證多個執行緒使用的鎖物件是同乙個 3.鎖物件作用 把同步 塊鎖住,只讓乙個執行緒在同步 塊中執行 ...
AppScan安全問題解決方案
一 環境準備 三 高危常見問題解決方案 1.sql盲注 主要就是通過注入sql的關鍵字,來破壞原有的查詢,導致頁面報錯 a.看看幾種常見的盲注方式 b.解決方案 思路 sql注入與sql盲注實際的攻入方式不同,但是解決思路都是通過過濾特殊字元,只是過濾的字元稍有差異。實際解決 從以上幾種注入可以看出...