前端安全
1.XSS(cross site script) 跨站脚本攻击
原理:向WEB页面插入恶意的javascript代码,并且浏览器执行该恶意代码。这就是XSS攻击。
攻击危害:可能获取到用户cookie信息,可能跳转到一个有木马的网站,可能会执行一些代码来给别人挖矿等等。
解决方案:
- 过滤输入:将所有用户可能提交的内容进行验证,约束长度等。包括URL、表单、查询字符串、post数据等。这样能够避免页面插入恶意javascript代码。
- 转义输出:将所有输出在页面上的代码都进行转义操作。例如一个表单,提交完毕之后需要跳转到另一个页面,并且显示刚才提交的内容,如果我在提交的时候写入了一个script代码,并且程序没有进行转义处理,那么这个内容在另一个页面中显示时,浏览器就会执行该script。达到XSS攻击的效果
本文持续更新。。。