web开发前端安全问题总结——web前端安全问题汇总

 CSRF（Cross-site request forgery）跨站请求伪造

即攻击者通过伪造请求攻击目标网站漏洞。

CSRF漏洞检测：

检测CSRF漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

工具有：CSRFTester，CSRF Request Builder等。

防御CSRF攻击：

1. 通过 referer、token、验证码或者自定义的HTTP头属性信息 来检测用户提交。

2. 尽量不要在页面的链接中暴露用户隐私信息。

3. 对于用户修改删除等操作最好都使用post 操作 。

4. 避免全站通用的cookie，严格设置cookie的域。

5. 设置referrer-policy规则

推荐文章：《浅谈CSRF攻击方式》

XSS跨站脚本攻击(Cross Site Scripting)

即攻击者在通过JS脚本攻击目标网站漏洞。可以分为三大类：

反射性XSS(非持久性)：攻击者构造可被浏览器执行输入的恶意代码(如输入框、URL地址栏），网站没有做拦截就执行攻击者的目标逻辑。

存储型XSS：网站保存攻击者的恶意代码(服务端存储了客户端的数据，但没有做任何处理，如留言板、用户信息等），并且展示时会执行恶意代码从而实现攻击者的目的。

DOM-Based型XSS：浏览器（客户端）在DOM解析时直接使用恶意数据

XSS漏洞检测

xss攻击主要还是利用白名单对HTML内容进行过滤检测。

软件检测：Burpsuit XDT

防御XSS攻击

1. 输入输出白名单检查：过滤、转义

2. 对重要cookie信息设置httpOnly

3. 设置CSP

推荐文章：《XSS漏洞攻击原理与解决办法》、《XSS漏洞的原理》

ClickJacking点击劫持攻击

即攻击者劫持用户的点击完成攻击目标。如通过在色情图片上悬浮透明构造好的iframe表单。

防御ClickJacking

设置X-Frame-Options

通过在网页中添加js脚本阻止被iframe嵌套

推荐文章《再谈Hijacking——JavaScript ClickJacking原理浅析》

The target="_blank" 安全缺陷

1. 控制跳转前的页面：攻击者在目标网站插入target="_blank"链接，用户点击插入的链接页面后，执行window.opener.location = 'https://www.zhoulujun.cn/',跳转到钓鱼页面，而用户而不知情况下完成钓鱼攻击。

   防御措施：为 target="_blank" 加上 rel="noopener noreferrer" 属性

2. 控制跳转后的页面：具体查看《前端黑魔法之远程控制地址栏》，节选代码如下：

<a href="https://www.baidu.com" target="baidu" id="baidu" onclick="return start()">click me</a>
<script>
    function start() {
        setInterval(function() {
            baidu.href="http://675ba661.2m1.pw/baidu";
            baidu.click(); 
        }, 10000);
    }
</script>

这两种攻击我觉得都比较鸡肋，尤其是后者。

推荐文章：《危险的 target="_blank" 与 “opener”》《神奇的opener对象》

CRLF Injection漏洞攻击

这个漏洞应该不属于前端，但是也推荐一读《新浪某站CRLF Injection导致的安全问题》

转载本站文章《web开发前端安全问题总结——web前端安全问题汇总》,
请注明出处：https://www.zhoulujun.cn/html/webfront/SGML/web/2015_1016_319.html