web前端安全

xss

xss是什麼呢，說白了就是瀏覽器在不該該執行js的地方，被惡意插入了js代碼，從而執行了一些原本不想執行的js代碼。 既然是js代碼，那就必須有路徑進入 1，url 2，get post 請求 防範： 1， 從url獲取的信息，前端進行對特殊字符進行轉意和替換特殊字符，好比script 轉換以後，瀏覽器就只會展現，可是不會執行這些腳本了。 2， 設置http-only

csrf

就是在用戶登陸的狀況下，誘惑用戶訪問非法網站，而後本身帶上cookie，去合理的請求非法信息。 防範： 1， 判斷請求來源 2， 加一個額外的信息token，登陸後的請求都帶上token，隱藏一個token 3， 多長時間沒有操做能夠登出

HTTP劫持

使用ifram嵌入頁面，ui 裝飾來誘導用戶點擊 防範： X-Frame-Options 禁止頁面加載iframe， 或者設置ifame sanbox屬性，把ifame的權限設置在最小的範圍內。

一些設置

好比csp，設置可信來源，X-Content-Type-Options 瀏覽器解析類型，