总结前端常见的安全问题
1、XSS攻击
全称为跨站脚步攻击
xss的原理就是让浏览器执行攻击者写的代码。
怎么让浏览器中加载攻击者的代码呢?
物理方案:趁你不注意跑到你电脑前F12,手动输入,回车。
现实方案:
- 存储性XSS攻击 让网页中自动带有攻击脚步,比如你在贴吧回复时插入
<script>alert('hi xss')</script>
或者
<img src="null" onerror="alert('hi xss')" />
点击保存,这段代码就会存服务器,当任何人点开你的这篇贴子时就会执行的这段代码,目的就达成了。当然这是在没有做任何防护的情况下。这种模式就叫存储型XSS攻击, 也叫持久型XSS。
- 反射性XSS攻击
CSRF攻击
越权操作
前端的权限控制分为:操作按钮控制和路由控制
在未加路由控制的情况下,用户在浏览器直接输入URL访问
连续编号类参数篡改
当前的数据的主键ID是自增的情况下,用户访问到某个URL为
/api/user/get?userId=1
那么用户就可以联想到 userId =2 、3、4 等情况 从而看到不属于自己的数据
前端防范措施: 协同后端对请求接口参数添加签名