前后端安全总集

总集"/>

前后端安全总集

xss    跨站脚本攻击
 反射型--url带代码
    存储型--存储到DB，攻击
转义
    html  < 转义&lt   >转义&gt "转义&quot;  '转义&apos;
富文本
    过滤
    黑名单：<script>
    白名单：保留部分标签
后端拦截器

CSRF    跨站请求伪造

cookie保存用户信息，由于点击第三方链接，跳转到伪装页面，利用用户信息发送数据

预防：head referer判断是否是本网站发起的
      SameSite-cookies 设置cookie时SameSite为Strict，目前只在chorme有效
      比如a网站cookie，b网站去攻击，是没有经过a网站的前端页面的。所以提交的时候可以加上图形验证码
      请求带token，前端页面随机产生一串东西，然后把它也保存在cookie中，当提交的时候验证两个是否一样

点击拦截
    使用隐藏的ifame，欺骗用户点击
    避免：js禁止内嵌
          X-XSS-Protection禁止内嵌

https保证传输安全

密码安全：
    单向变化，加盐
    https
    前端页面密码传输加密，只能避免用户原始密码被破解，但是避免不了伪造用户登陆
    

上传安全
    比如你上传一个可以执行的文件，浏览的时候就会执行一次。
    前端限制非指定格式的文件，限制后缀，还有file.type进行过滤，或者过滤文件名字