資訊專欄INFORMATION COLUMN
摘要:安全漏洞漏洞是通過帶入的,這種帶入主要是前端解析中的參數(shù),并對數(shù)參數(shù)執(zhí)行了或者或者操作。安全漏洞是通過仿造客戶端的請求獲取信息的,對于的請求,客戶端確實可以仿造,但是因為對于的請求,有同源策略限制,已經做了域名過濾,所以一般不會有問題。
xss安全漏洞
XSS漏洞是通過URL帶入的,這種帶入主要是前端解析url中的參數(shù),并對數(shù)參數(shù)執(zhí)行了innerHTML或者html或者append操作。在將參數(shù)html()或者append()到html文件中時,會執(zhí)行其中的js代碼,被錯誤用戶獲取到cookie等信息。
原始鏈接:
https://xx.xxx.com/index.html?nick=aa
被xss注入之后的鏈接:
https://xx.xxx.com/index.html?nick=qqqa/gi;
// 去除包含<>內容的,防止xss漏洞
var filterValue = str.replace(/<.*?>/g,"");
// 去除<開頭類型的xss漏洞
filterValue = str.replace(/<+.*$/g,"");
if(regExp && !regExp.test(filterValue)){
filterValue = "";
}
return filterValue;
}
修復方式:
對URL中的參數(shù)包含<>標簽的內容進行過濾,防止任何js代碼執(zhí)行的可能性。同時可以對帶有url的參數(shù)(比如用戶的頭像圖片鏈接)進行域名限制,通過域名限制可以不需要再過濾類型,只需要限制域名,因為這里用戶有可能輸入了一些可以下載內容的URL,讓用戶下載一些并不需要的東西,此時過濾域名最安全。
csrf是通過仿造客戶端的請求獲取信息的,對于jsonp的請求,客戶端確實可以仿造,但是因為對于ajax的請求,有同源策略限制,已經做了域名過濾,所以一般不會有問題。
修復方案:
客戶端帶一個特定標識到服務端,比如token,服務端檢查token
服務端判斷refer,對refer的域名進行過濾和攔截
refer指向原則:
在a.html里面發(fā)送了ab.json請求,則服務端拿到的refer地址是a.html的地址,即當前頁面的html地址
直接在瀏覽器里面輸入該地址(html或者json),則refer為空
從上個頁面a.html跳轉到b.html,則b.html的refer地址為a.html
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/107119.html
摘要:常見的六大安全問題有點擊劫持跳轉漏洞注入命令注入攻擊,跨站腳本攻擊,因為縮寫和重疊,所以只能叫。這是預防攻擊竊取用戶最有效的防御手段。命令注入攻擊命令注入攻擊指通過應用,執(zhí)行非法的操作系統(tǒng)命令達到攻擊的目的。 隨著互聯(lián)網的快速發(fā)展和前端的多樣性,瀏覽器已經成一種十分重要的上網工具,也是要有越來越多的交互操作需要瀏覽器來支持,所以針對瀏覽器的安全問題也越來越重要。瀏覽器安全其實是受同源策...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的命令。此外,適當?shù)臋嘞蘅刂撇黄芈侗匾陌踩畔⒑腿罩疽灿兄陬A防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的命令。此外,適當?shù)臋嘞蘅刂撇黄芈侗匾陌踩畔⒑腿罩疽灿兄陬A防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當使用外...
摘要:一隨著前端的快速發(fā)展,各種技術不斷更新,但是前端的安全問題也值得我們重視,不要等到項目上線之后才去重視安全問題,到時候被黑客攻擊的時候一切都太晚了。解決辦法增加驗證因為發(fā)送請求的時候會自動增加上,但是卻不會,這樣就避免了攻擊驗證。 一、隨著前端的快速發(fā)展,各種技術不斷更新,但是前端的安全問題也值得我們重視,不要等到項目上線之后才去重視安全問題,到時候被黑客攻擊的時候一切都太晚了。 二、...
摘要:一隨著前端的快速發(fā)展,各種技術不斷更新,但是前端的安全問題也值得我們重視,不要等到項目上線之后才去重視安全問題,到時候被黑客攻擊的時候一切都太晚了。解決辦法增加驗證因為發(fā)送請求的時候會自動增加上,但是卻不會,這樣就避免了攻擊驗證。 一、隨著前端的快速發(fā)展,各種技術不斷更新,但是前端的安全問題也值得我們重視,不要等到項目上線之后才去重視安全問題,到時候被黑客攻擊的時候一切都太晚了。 二、...
閱讀 2306·2021-11-24 09:39
閱讀 2550·2021-11-22 15:24
閱讀 2990·2021-09-02 09:48
閱讀 3032·2021-07-26 22:01
閱讀 1445·2019-08-30 11:09
閱讀 1684·2019-08-29 18:47
閱讀 615·2019-08-29 15:40
閱讀 2144·2019-08-29 15:22
