前端攻击手段有哪些,该如何预防
- 前端攻击手段有哪些,该如何预防
- 一,xss
- Cross Site Script 跨站脚本攻击
- 手段:黑客将JS代码插入到网页内容中,渲染时执行JS代码
- 预防:特殊字符替换(前端或者后端)
这种img的写法可以规避跨域,img图片的加载可以规避跨域
vue和react可以默认屏蔽xss攻击
除了这两种情况
vue v-html的写法
react dangerouslySetInnerHTML
(二)CSRF
这也是一个常见的攻击手段
Cross Site Request Forgery跨站请求伪造
手段:黑客诱导用户去访问另一个网站的接口,伪造请求
预防:严格的跨域限制+验证码机制
CSRF详细过程
1,用户登录了A网站,有了cookie
2,黑客诱导用户到B网站,并发起A网站的请求
3,A网站的API发现有了cookie,认为是用户自己操作的
CSRF预防手段
1,严格的跨域请求限制,如判断referrer(请求来源)
2,为cookie设置SameSite,禁止跨域传递cookie
3,关键接口使用短信验证码
点击劫持
1,Click Jacking
2,手段:诱导界面上蒙一个透明的iframe,诱导用户点击
3,预防:让iframe不能跨域加载
DDoS
1,Distribute denial-of-service 分布式拒绝服务
2,手段:分布式的、大规模的流量访问,是服务器瘫痪
3,预防:软件层不好做,需硬件预防(如阿里云WAF)
SQL注入
1,手段:黑客提交内容时写入SQL语句,破坏数据库
2,预防:处理输入的内容,替换特殊字符
前端攻击
1,XSS
2,CSRF
3,点击劫持
4,DDoS
5,SQL注入
划重点
预防攻击,要各司其职,而不要依赖于其他角色(如后端)
