常見前端安全漏洞及防範方法

參考文章：

8大前端安全問題（上） https://insights.thoughtworks.cn/eight-security-problems-in-front-end/

8大前端安全問題（下） https://insights.thoughtworks.cn/eight-security-problems-in-front-end-2/

前端安全系列（一）：如何防止XSS攻擊？ https://juejin.im/post/5bad9140e51d450e935c6d64#heading-8

前端安全系列之二：如何防止CSRF攻擊？ http://www.javashuo.com/article/p-arfoqfvw-db.html

前端安全知多少 ：http://www.cnblogs.com/zhuanzhuanfe/p/7286611.html

跨站腳本大全：http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html

 

1、前端漏洞

一、XSS攻擊

核心：惡意腳本注入

描述：攻擊者經過在目標網站上注入惡意腳本，使之在用戶的瀏覽器上運行。利用這些惡意腳本，攻擊者可獲取用戶的敏感信息如 Cookie、SessionID 等，進而危害數據安全。

二、CSRF攻擊

核心：利用用戶身份僞造請求

描述：利用受害者在被攻擊網站已經獲取的註冊憑證，繞事後臺的用戶驗證，冒充用戶對被攻擊的網站發送執行某項操做的請求

三、HTTP劫持

核心：廣告、彈框html注入

描述：當咱們訪問頁面的時候，運營商在頁面的HTML代碼中，插入彈窗、廣告等HTML代碼，來獲取相應的利益

四、界面操做劫持

核心：視覺欺騙

描述：界面操做劫持是一種基於視覺欺騙的劫持攻擊。經過在頁面上覆蓋一個iframe + opacity:0的頁面，讓用戶誤點擊

五、錯誤的內容推斷

核心：js假裝成圖片文件

描述：攻擊者將含有JavaScript的腳本文件假裝成圖片文件（修改後綴等）。該文件逃過了文件類型校驗，在服務器裏存儲了下來。接下來，受害者在訪問這段評論的時候，瀏覽器請求這個假裝成圖片的JavaScript腳本並執行

六、不安全的第三方依賴包

核心：第三方漏洞

描述：框架及第三方依賴的安全漏洞

七、HTTPS降級HTTP

核心：攔截首次http通訊

描述：問題的本質在於瀏覽器發出去第一次請求就被攻擊者攔截了下來並作了修改，根本不給瀏覽器和服務器進行HTTPS通訊的機會。大體過程以下，用戶在瀏覽器裏輸入URL的時候每每不是從https://開始的，而是直接從域名開始輸入，隨後瀏覽器向服務器發起HTTP通訊，然而因爲攻擊者的存在，它把服務器端返回的跳轉到HTTPS頁面的響應攔截了，而且代替客戶端和服務器端進行後續的通訊

八、本地存儲數據泄露

核心：敏感、機密數據

描述：前端存儲敏感、機密信息易被泄露

九、缺失靜態資源完整性校驗

核心：CDN資源劫持

描述：存儲在CDN中的靜態資源，攻擊者劫持了CDN，或者對CDN中的資源進行了污染

十、文件上傳漏洞

核心：文件類型限制

描述：文件後綴及文件內容沒有嚴格限制

十一、文件下載漏洞

核心：文件類型、目錄限制

描述：下載敏感文件、下載目錄

 

2、防範方法

一、通用方法

 

 二、響應頭詳解