前端安全

2023, Jun 28    

前端安全策略的思考。

前端攻击手段

XSS跨站脚本攻击

反射型 DOM型 存储型

存入服务器

预防

• 不用innerHTML outerHTML document.write等不安全方式编写
• 对脚本进行过滤和转译 不执行恶意脚本
• CSP

  content security policy 限制来自特定源的脚本

• 现有框架自动实现xss预防 react 、 nestjs

CSRF跨站请求伪造

需要黑客设计伪造网站，当用户点击原网站时点击了恶意链接在不知情的情况下发送post请求，并跳转到原网站，泄漏信息。

预防

• 阻止不明外域的访问： 同源检测 origin referer samesite: strict/lax
• 提交时要求附加本域才能获取信息： csrf token 存在本地localstrage 双重cookie
• 后端接口防止csrf漏洞+前端提示：x-content-type-options: nosniff

sql注入：攻击者控制输入

https

点击劫持 不安全的第三方依赖的CDN iframe

x-frame-options http头 判断toplocation

opener

a标签加noopener noreferrer