7 种常见的前端攻击

大家都知道，保证网站的安全是十分重要的，一旦网站被攻陷，就有可能造成用户的经济损失，隐私泄露，网站功能被破坏，或者是传播恶意病毒等重大危害。所以下面我们就来讲讲7 种常见的前端攻击。

1. 跨站脚本 (XSS)

跨站脚本攻击 (XSS) 是一种注入攻击，攻击者通过将恶意脚本注入到网页中，欺骗用户浏览器执行，从而窃取用户敏感信息或破坏网站。XSS 攻击是 Web 应用程序中最常见的安全威胁之一，也是造成重大安全事故的常见原因。

攻击方式:

• 反射型 XSS: 攻击者将恶意脚本注入到用户提交的数据中，例如评论表单、搜索表单等。当用户提交数据时，恶意脚本会被原样反射回用户浏览器，并被执行。

• 存储型 XSS: 攻击者将恶意脚本存储在服务器端，例如将恶意脚本注入到数据库中。当用户访问包含恶意脚本的页面时，恶意脚本会被浏览器执行。

• DOM 型 XSS: 攻击者利用浏览器 DOM 的漏洞来执行恶意脚本。例如，攻击者可以利用 <script> 标签的 onerror 属性来执行恶意脚本。

防御措施:

• 对用户输入进行转义和过滤: 使用 HTML 实体转义或其他安全编码方法来转义用户输入中的特殊字符，防止恶意脚本注入。

• 使用 HTTPOnly Cookie: 将 Cookie 的 HttpOnly 属性设置为 true，可以防止 JavaScript 代码直接访问 Cookie。

• 使用 Content Security Policy (CSP): CSP 是一种通过配置浏览器安全机制来限制网页中可执行内容的安全技术。

• 使用前端常用框架 (如Vue,React等):这些框架模板字符一般都经过转义和过滤,具有一定的安全性 。代码示例

  <form action="/submit_comment">
    <input type="text" name="comment" value="">
    <button type="submit">提交评论</button>
  </form>

• 上面表单中没有对用户输入的评论进行过滤，攻击者可以输入恶意JavaScript代码，例如：

  <script>
    alert(document.cookie); /