总集"/>
前后端安全总集
xss 跨站脚本攻击
反射型--url带代码
存储型--存储到DB,攻击
转义
html < 转义< >转义> "转义" '转义'
富文本
过滤
黑名单:<script>
白名单:保留部分标签
后端拦截器
CSRF 跨站请求伪造
cookie保存用户信息,由于点击第三方链接,跳转到伪装页面,利用用户信息发送数据
预防:head referer判断是否是本网站发起的
SameSite-cookies 设置cookie时SameSite为Strict,目前只在chorme有效
比如a网站cookie,b网站去攻击,是没有经过a网站的前端页面的。所以提交的时候可以加上图形验证码
请求带token,前端页面随机产生一串东西,然后把它也保存在cookie中,当提交的时候验证两个是否一样
点击拦截
使用隐藏的ifame,欺骗用户点击
避免:js禁止内嵌
X-XSS-Protection禁止内嵌
https保证传输安全
密码安全:
单向变化,加盐
https
前端页面密码传输加密,只能避免用户原始密码被破解,但是避免不了伪造用户登陆
上传安全
比如你上传一个可以执行的文件,浏览的时候就会执行一次。
前端限制非指定格式的文件,限制后缀,还有file.type进行过滤,或者过滤文件名字
更多推荐
前后端安全总集
发布评论