前端安全你知多少?

最新推荐文章于 2026-04-07 09:41:45 发布
原创 最新推荐文章于 2026-04-07 09:41:45 发布 · 2k 阅读 · 44
标签
#安全

不知道大家感受到了没有,这几年系统安全越来越受到重视,不仅仅是公司层面,而是国家层面的,比如最近就有国家层面的安全攻防演练,专门的安全公司来“找茬”。

安全不仅仅是后端关注的,前端在这方面也有很多的点需要注意,不仅是日常工作中,在面试中对于安全也是重点的考察方向。今天带来一篇前端安全相关的文章,比较详细的介绍了前端面临的一些安全问题以及应对办法,希望大家看完有收获。

前言

在前端开发领域,前端安全经常被公司忽视,这些公司大部分都是以业务为中心的公司,认为前端只是页面仔,画个页面调个接口,能有多大安全隐患?下面我将举几个前端安全相关的例子!

下面这些内容都还是基于前端开发层面的思考和总结,在处理安全漏洞方面,前端是存在一定的局限性,所以前端的防护措施只是第一道防线,后端的安全验证和防护同样很重要。

先给自己挖个坑,后面我会把文中提到的每一项漏洞攻击都单独写一篇详细的文章,争取可以把这些内容写的更细更全,感兴趣的同学可以关注一波。

跨站脚本攻击(XSS)

  • 什么是XSS

    它指的是攻击者通过在网页中注入恶意的脚本代码(一般是 JavaScript 代码),当其他用户访问该网站时,浏览器会执行这些恶意脚本。恶意脚本可以窃取用户的会话 Cookie 信息,从而劫持用户会话,获取用户的登录凭证,或者篡改网页内容,将用户重定向到恶意网站,还能够收集用户的敏感信息。

    例如,一个论坛网站允许用户发表评论,如果攻击者在评论中插入一段恶意的 JavaScript 代码,当其他用户查看该评论时,浏览器就会执行这段恶意代码。因为当浏览器加载网页时,它会按照 HTML 规范来解析和执行其中的代码,攻击者插入的恶意 JavaScript 代码被包含在网页中,浏览器就会视为它是合法的脚本来执行。

  • XSS 攻击通常发生在以下场景

    1. 页面没有对表单输入内容进行充分的过滤。

    2. 直接将用户输入的数据在页面上输出,没有进行编码处理。

  • XSS 攻击解决方案

    • 通过设置 HTTP 响应头来限制页面可以加载和执行的资源。以 Apache 服务器和Nginx 服务器为例:

    • 在将用户输入的数据输出到页面时,进行适当的编码,以防止脚本被执行。

    • encodeURI() 函数:对整个 URI 进行编码,除了一些特殊字符(如 : 、 / 、 ? 、 # 、 [ 、 ] 、 @ 、 ! 、 $ 、 & 、 ' 、 ( 、 ) 、 * 、 + 、 , 、 ; 、 = )不会被编码。

    • encodeURIComponent() 函数:对 URI 的组成部分进行编码,会对更多的字符进行编码,包括 / 等。

    •     // 以使用 encodeURIComponent() 函数为示例
    function outputUserData(userInput) {
         let encodedInput = encodeURIComponent(userInput);
         document.write(encodedInput);
    }

   let userData = "<script>alert('XSS')</script>";
   outputUserData(userData);

      在实际应用中,需要根据具体的输出场景选择合适的编码函数。通常,如果要将用户输入作为 URL 的一部分输出,使用 encodeURIComponent() 更合适。如果是要在页面中直接显示用户输入的内容,可能需要根据具体情况进一步处理编码后的结果。

    • 对用户输入的内容进行严格的验证,只允许符合预期格式和内容的数据通过。

    • 使用白名单机制,明确规定允许的输入字符和格式。

    • 对输入数据进行消毒处理,去除可能的恶意脚本代码或特殊字符。

    1. 输入验证与消毒

    2.     // 一段简单的示例,用于防止 XSS 攻击的 JavaScript 输入验证和清理函数
    function sanitizeInput(input) {
        // 去除 HTML 和 XML 标签
        input = input.replace(/<[^>]*>|&[^;]*;/g, '');

        // 编码特殊字符
        input = encodeURIComponent(input);

        // 去除换行符和制表符
        input = input.replace(/\n|\r|\t/g,'');

        // 限制输入长度
        if (input.length > 1000) {
            input = input.substring(0, 1000);
        }

        return input;
    }

    // 使用示例
    let userInput = "<script>alert('XSS')</script>";
    let sanitizedInput = sanitizeInput(userInput);
    console.log(sanitizedInput);  // "alert('XSS')"

    3. 输出编码

    4. 使用内容安全策略(CSP)

    5.     // Apache 服务器在 .htaccess 文件中添加以下内容来设置 CSP 响应头
    Header set Content-Security-Policy "default-src 'elf'; script-src 'elf' https://example.com; style-src 'elf' https://fonts.googleapis.com"
    
    //  Nginx 服务器可以在 server 或 location 块中添加类似以下的配置
    add_header Content-Security-Policy "default-src 'elf'; script-src 'elf' https://example.com; style-src 'elf' https://fonts.googleapis.com";
    
    // 配置完成后,重新启动服务器以使更改生效

跨站请求伪造(CSRF)

  • 什么是CSRF

    它利用用户在已登录的受信任网站上的身份认证信息,在用户不知情的情况下,以用户的名义向网站发送恶意请求,所以CSRF 攻击通常依赖于网站对用户请求的信任和浏览器在发送请求时自动包含登录凭证(如 Cookie)的特性。

    例如,我们登录了一个银行网站,该网站在登录期间会信任我们的浏览器发出的请求。如果攻击者设法诱使我们访问了一个恶意网站,这个恶意网站可能会向银行网站发送一个请求,比如转账请求,而由于我们的浏览器在银行网站的登录状态仍然有效,银行网站可能会处理这个恶意请求,导致资金被非法转移。

  • CSRF 攻击通常发生在

最低0.47元/天 解锁文章
前端常见安全性问题
m0_44973790的博客
04-22 9725
文章目录 一、常见的安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
网络攻击——XSS攻击
PUIWAH的博客
03-24 1844
XSS攻击 简介 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 不仅仅是...
浅谈前端安全
weixin_43675915的博客
06-10 8763
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端安全:别让你的应用变成黑客的游乐场
最新发布
cannonmonster01的博客
04-07 474
前端安全前端开发中不可忽视的一部分。作为前端开发者,我们应该了解常见的安全问题,掌握安全最佳实践,保护用户的隐私和财产安全。最后,我想说:安全不是一次性的工作,而是一个持续的过程。我们需要不断学习新的安全知识,更新安全策略,确保应用的安全性。
前端常见的安全问题及防范措施
热门推荐
m0_56069948的博客
02-23 1万+
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 前言 随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及
前端安全汇总(持续更新)
m0_59598029的博客
03-12 1520
子资源完整性(SRI)是允许浏览器检查其获得的资源(例如从CDN获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。通过给link标签或者script标签增加integrity属性即可开启SRI功能.integrity值分成两个部分,第一部分指定哈希值的生成算法(sha256sha384及sha512),第二部分是经过base64编码的实际哈希值,两者之间通过一个短横()分割。integrity。
javascript介绍前端安全知多少
weixin_52255418的博客
11-10 481
今天javascript栏目介绍前端安全。 前言 Hello,AV8D~今天我们要分享的主题是前端Web安全。web安全的重要性不言而喻,是所有互联网企业都绕不开的话题。 在web前端领域,尽管浏览器已经在系统层面帮我们做了诸多的隔离和保护措施,但是网页代码开放式的特点和html、JS的语言特性使得黑客们依然有非常多的可乘之机,Google、facebook等等都有各自的漏洞悬赏机制,力求在黑客之前发现和修复漏洞,将企业损失降到最低。 web安全是老生常谈的话题,但是常说常新,今天就再次梳©理(v)一遍前端
前端安全知多少
QDY5945的博客
11-16 261
说到安全,大家脑海浮现的一定是这种场景。 他们噼噼啪啪敲几行代码,就能控制对方电脑于千里之外,酷到没朋友。 但这些似乎离前端还挺远的。常常听到什么SQL注入,缓冲区溢出,DDoS,CC攻击,好像和前端...
前端易遭受的六大安全威胁,以及对应解决策略。
贝格前端工场的博客
06-19 3710
前端遭受安全威胁可能会导致用户隐私泄露、账户被盗用、系统遭受攻击、用户体验受损等严重后果,所有安全防御也成了前端开发者的必须课之一,贝格前端工场带领大家了解下常见的安全威胁。
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 1337
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
前端常见安全问题以及解决方案汇总
zhong_333的博客
01-24 5092
在处理前端安全问题时,我们意识到安全性是一个不断演进的过程。通过采取一系列措施,如设置安全头部、使用 HTTPS 加密传输、及时更新第三方依赖并引入安全监控,我们可以有效地降低潜在的安全风险。此外,数据脱敏和定期审查安全措施也对保障前端应用程序的安全性至关重要。综上所述,领会并实践这些前端安全原则,将有助于确保用户数据和系统的安全,为用户提供更可靠的在线体验。
前端所有安全问题总结
qq_38713274的博客
04-04 3198
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
前端安全—常见的攻击方式及防御方法
Innocence_0的博客
01-02 1525
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
前端进阶】前端安全:从入门到实践
weixin_55846296的博客
06-27 2189
Web应用程序的广泛使用,使得Web安全变得越来越重要。随着Web技术的不断发展和Web应用程序的复杂性增加,越来越多的前端安全漏洞受到广泛关注。为了保护Web应用程序和用户数据,我们需要了解和掌握前端安全的知识和实践。在本文中,我们将介绍前端安全的基本概念,涉及到一些常见的前端安全问题以及如何保护Web应用程序和用户数据的方法。最后,我们将深入探讨前端安全的实践方案,以帮助您实现更安全的Web应用程序。在日益复杂和高风险的网络世界中,保护Web应用程序和用户数据至关重要。
前端安全问题
hpxjiayou的博客
03-23 902
随着互联网的快速发展和普及,前端技术的不断演进使得前端开发的功能和复杂度大幅提升。然而,与此同时,前端安全问题也日益凸显,成为威胁用户信息和业务安全的重要因素。
前端(十七)——Web应用的安全性研究
杜永康的博客
09-06 1938
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程中,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
前端安全问题及解决方案
似水流年QC的博客
06-29 1800
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
前端常见的安全问题
laihongfeng的博客
03-07 7960
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夕阳_醉了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值