面試者需知的前端安全類

CSRF、XSS數據庫

CSRF:

基本概念和縮寫api

攻擊原理跨域

防護措施瀏覽器

① 基本概念和縮寫服務器

CSRF:一般稱爲跨站請求僞造,英文名:cross-site request forgery縮寫CSRFjvm

② 攻擊原理
oop

③ 防護措施ui

Token 驗證編碼

Feferer 驗證3d

隱藏令牌

XSS

基本概念和縮寫

XSS(cross-site scripting 跨域腳本攻擊)

攻擊原理:http://www.imooc.com/learn/812

防護措施:http://www.imooc.com/learn/812

XSS的攻擊方式

反射型,存儲型

反射型發出請求時,XSS代碼出如今URL中,做爲輸入提交到服務器端,服務器解析後響應,XSS代碼隨響應內容一塊兒傳回給瀏覽器,最後瀏覽器解析執行XSS代碼。這個過程向一次反射,因此叫反射型XSS。

存儲型存儲型XSS和反射型XSS的差異僅在於,提交的代碼會存儲在服務器端(數據庫,內存,文件系統等),下次請求目標頁面時不用再提交XSS代碼。

防範措施:

編碼對用戶輸入的數據進行HTML Entity編碼

過濾移除用戶上傳的Dom屬性,如onerror等,移除用戶上傳的style節點,script節點,Iframe節點等。

校訂避免直接對HTML Entity解碼,使用Dom Parse轉換,校訂不配對的Dom標籤。

相關文章
相關標籤/搜索