浅谈前端安全

发表于 更新于 分类于 阅读次数:
本文字数: 355 阅读时长 ≈ 1 分钟
  1. 老生常谈的XSS
  2. 警惕iframe带来的风险
  3. 别被点击劫持了
  4. 错误的内容推断
  5. 防火防盗防猪队友:不安全的第三方依赖包
  6. 用了HTTPS也可能掉坑里
  7. 本地存储数据泄露
  8. 缺失静态资源完整性校验

XSS 跨站脚本攻击

是什么

XSS是跨站脚本攻击(Cross-Site Scripting)的简称,攻击者可以利用XSS漏洞来窃取包括用户身份信息在内的各种敏感信息、修改Web页面以欺骗用户,甚至控制受害者浏览器,或者和其他漏洞结合起来形成蠕虫攻击,等等。

如何防御

防御XSS最佳的做法就是对数据进行严格的输出编码,使得攻击者提供的数据不再被浏览器认为是脚本而被误执行。例如<script>在进行HTML编码后变成了&lt;script&gt;,而这段数据就会被浏览器认为只是一段普通的字符串,而不会被当做脚本执行了。

-------------本文结束&感谢您的阅读-------------