BLOG

主题

CSRF(跨站请求伪造)

就是攻击者盗用了你的身份,以你的名义发送恶意请求;

通过cookie,referer字段,token,验证码,加密等等来防范; CSRF-TOKEN;

XSS(跨站脚本攻击)

  • 存储型 XSS:攻击者将恶意代码提交到网站数据库,其他用户加载页面时执行。

示例:攻击者在论坛提交 ,其他用户加载页面时执行。

  • 反射型 XSS:攻击者构造特殊的 URL,用户点击后,网站解析 URL,恶意代码执行。

  • DOM 型 XSS:前端脚本操作 DOM 时,未对用户输入进行过滤,导致恶意代码执行。

框架本身都是转义进行防范,不使用危险操作即可,比如innerHTML,eval等等; 比如React的dangerouslySetInnerHTML;

SQL注入

前端一般无法完全防御,需要后端配合,一般使用一个ORM就够了;

本站访客数 人次 本站总访问量