盗墓笔记同人小说,好看的玄幻小说,好看的玄幻小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

8大前端安全問(wèn)題（上）

當(dāng)我們說(shuō)“前端安全問(wèn)題”的時(shí)候，我們?cè)谡f(shuō)什么

創(chuàng)新互聯(lián)是專業(yè)的泗縣網(wǎng)站建設(shè)公司，泗縣接單;提供網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行泗縣網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

“安全”是個(gè)很大的話題，各種安全問(wèn)題的類型也是種類繁多。如果我們把安全問(wèn)題按照所發(fā)生的區(qū)域來(lái)進(jìn)行分類的話，那么所有發(fā)生在后端服務(wù)器、應(yīng)用、服務(wù)當(dāng)中的安全問(wèn)題就是“后端安全問(wèn)題”，所有發(fā)生在瀏覽器、單頁(yè)面應(yīng)用、Web頁(yè)面當(dāng)中的安全問(wèn)題則算是“前端安全問(wèn)題”。比如說(shuō)，SQL注入漏洞發(fā)生在后端應(yīng)用中，是后端安全問(wèn)題，跨站腳本攻擊(XSS)則是前端安全問(wèn)題，因?yàn)樗l(fā)生在用戶的瀏覽器里。

除了從安全問(wèn)題發(fā)生的區(qū)域來(lái)分類之外，也可以從另一個(gè)維度來(lái)判斷：針對(duì)某個(gè)安全問(wèn)題，團(tuán)隊(duì)中的哪個(gè)角色最適合來(lái)修復(fù)它?是后端開(kāi)發(fā)還是前端開(kāi)發(fā)?

總的來(lái)說(shuō)，當(dāng)我們下面在談?wù)摗扒岸税踩珕?wèn)題”的時(shí)候，我們說(shuō)的是發(fā)生在瀏覽器、前端應(yīng)用當(dāng)中，或者通常由前端開(kāi)發(fā)工程師來(lái)對(duì)其進(jìn)行修復(fù)的安全問(wèn)題。

8大前端安全問(wèn)題

按照上面的分類辦法，我們總結(jié)出了8大典型的前端安全問(wèn)題，它們分別是：

老生常談的XSS
警惕iframe帶來(lái)的風(fēng)險(xiǎn)
別被點(diǎn)擊劫持了
錯(cuò)誤的內(nèi)容推斷
防火防盜防豬隊(duì)友：不安全的第三方依賴包
用了HTTPS也可能掉坑里
本地存儲(chǔ)數(shù)據(jù)泄露
缺失靜態(tài)資源完整性校驗(yàn)

由于篇幅所限，本篇文章先給各位介紹前4個(gè)前端安全問(wèn)題。

老生常談的XSS

XSS是跨站腳本攻擊(Cross-Site Scripting)的簡(jiǎn)稱，它是個(gè)老油條了，在OWASP Web Application Top 10排行榜中長(zhǎng)期霸榜，從未掉出過(guò)前三名。XSS這類安全問(wèn)題發(fā)生的本質(zhì)原因在于，瀏覽器錯(cuò)誤的將攻擊者提供的用戶輸入數(shù)據(jù)當(dāng)做JavaScript腳本給執(zhí)行了。

XSS有幾種不同的分類辦法，例如按照惡意輸入的腳本是否在應(yīng)用中存儲(chǔ)，XSS被劃分為“存儲(chǔ)型XSS”和“反射型XSS”，如果按照是否和服務(wù)器有交互，又可以劃分為“Server Side XSS”和“DOM based XSS”。

無(wú)論怎么分類，XSS漏洞始終是威脅用戶的一個(gè)安全隱患。攻擊者可以利用XSS漏洞來(lái)竊取包括用戶身份信息在內(nèi)的各種敏感信息、修改Web頁(yè)面以欺騙用戶，甚至控制受害者瀏覽器，或者和其他漏洞結(jié)合起來(lái)形成蠕蟲攻擊，等等?？傊P(guān)于XSS漏洞的利用，只有想不到?jīng)]有做不到。

如何防御

防御XSS最佳的做法就是對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸出編碼，使得攻擊者提供的數(shù)據(jù)不再被瀏覽器認(rèn)為是腳本而被誤執(zhí)行。例如