web前端常見安全問題

隨着互聯網佔領生活的方方面面，安全問題日益不容忽視，
做爲一個開發者，一些常見的安全問題必定要注意：

1，SQL注入
 2，XSS
 3，CSRF
 4,代理（好比fiddler）

1，SQL注入：

這個比較常見，可能你們也據說過，就是URL裏面若是有對數據庫進行操做的參數時，要作一下特殊的處理，
不然被別有用心的人利用的話就可能釀成大錯，輕則用戶信息泄露，重則數據庫被刪
example:

若是有以下URL，查詢分頁，且代碼裏面沒有特殊處理
http://www.baidu.com/abc.asp?page=1

則在URL後面加入以下語句能夠判斷有無注入點
; and 1=1 and 1=2

更多其它操做請自行百度，解決方式有不少種，關鍵是要知道這種注入

2，XSS 全稱跨站腳本攻擊

這個你們都作過處理，可是並不必定知道名字，（Cross Site Scripting, 安全專家們一般將其縮寫成XSS,本來應當是css，但爲了和層疊樣式表（Cascading Style Sheet,CSS ）有所區分，故稱XSS）,

這種問題一般是因爲對用戶的輸入沒有嚴格的加以過濾致使的

example:

論壇A有一個評論的功能，可是並無過濾HTML標籤，致使用戶能夠隨意的經過評論在這個帖子中添加圖片和腳本，
輕則影響頁面樣式，重則危害網站的安全，若是別有用心的人插入非法腳本，則頁面有可能出現廣告，
甚至丟失用戶信息，進一步還能危害到整個站的安全

3，CSRF （Cross-site request forgery）跨站請求僞造

這種問題通常是因爲網站把重要的用戶信息不加以處理就放在本地，若是用戶在訪問某重要網站時，好比網銀，假如用戶的惟一標識信息被存在本地，

若是此時訪問了非法網站，在某些特殊狀況下，就有可能丟失用戶重要信息，進而威脅用戶安全，

example:

這個出現狀況比較複雜，可能單一的問題並不會致使危害用戶安全，
這裏就不加以贅述，具體本身去某度瞭解（不是偷懶，這裏畢竟不是安全講座，說太多就跑題了 @_@!!!）

4，文件代理，好比fiddler

這種問題通常是因爲把一些重要的校驗，或者攔截，放在了前端，使別人有可乘之機。

example:

若是有一個視頻網站，須要會員才能觀看VIP電影，可是，判斷是否是vip的方式就只是前端請求一個後端返回的字段，
這個時候，若是讓fiddler自動響應這個請求，修改返回值，那麼，前端的判斷就會永遠按照這個自動響應來執行。
就能夠‘免費’觀看VIP電影。

以上是4種比較常見的web安全問題，有些地方可能不夠詳細或者精確，可是若是可以讓你注意到這些問題，個人目的就算是達到了，由於這只是站在一個前端的角度看待問題，讓你們都注意到這些問題，進而不犯錯誤，就是目的。