一、csrf-跨站偽造請求(cross site request forgery)
場景:登入系統後,點選了頁面上的未知鏈結(釣魚**),釣魚**就會主動向你的**發起請求,這個時候你的登入態還是存在的,因為瀏覽器的不同程序之間可以共享登入態,所以釣魚**這個時候是可以順利以你的身份任意訪問你的**的介面。
預防:目前常用的方法是在請求頭中加入token登入狀態字段。
二、xss-跨站指令碼攻擊(cross sitescript)
場景:在使用者輸入的文字或頁面html標籤中插入可執行的惡意js指令碼來操縱使用者介面或盜取使用者資訊。
預防:1、設定白名單過濾一些敏感的標籤和屬性。
2、對一些標籤或特殊字元進行轉義,如'>、<、&、"、/'等。
3、對使用者的輸入資訊進行強校驗。
三、本地儲存資料問題
預防:對存放到cookie或者localstorage裡的資訊要進行加密。
常見前端安全漏洞及防範方法
參考文章 8大前端安全問題 上 8大前端安全問題 下 前端安全系列 一 如何防止xss攻擊?前端安全系列之二 如何防止csrf攻擊?前端安全知多少 跨站指令碼大全 核心 惡意指令碼注入 核心 利用使用者身份偽造請求 核心 廣告 彈框html注入 描述 當我們訪問頁面的時候,運營商在頁面的html 中...
常見應用安全漏洞
1.注入 注入攻擊漏洞,例如sql os ldap注入。這些攻擊發生在當不可信的資料作為命令或查詢語句的一部分,被傳送給直譯器的時候,攻擊者傳送的惡意資料可以欺騙直譯器,以執行計畫外的命令或未授權的查詢。2.失效的身份認證和會話管理 與身份認證和會話管理相關的應用程式功能往往得不到正確的實現,這就導...
常見Web安全漏洞
不同許可權賬戶之間的存在越權訪問 檢測防範 1伺服器端必須對每個頁面鏈結進行許可權判斷。2使用者登陸後,伺服器端不應再以客戶端提交的使用者身份資訊為依據,而應以會話中服務端儲存的已登陸的使用者身份資訊為準。3頁面提交的資源標誌與已登陸的使用者身份進行匹配比對,然後判斷其對當前鏈結是否有許可權。4必須...