前端安全
XSS
跨站脚本攻击
向页面注入脚本
危害
获取cookie
javascript
<p>sks <img src="null" alt="" onerror="alert(document.cookie)"></p>- 获取页面数据
- 获取cookie
- 劫持前端逻辑
- 发送请求
- 偷取网站任意数据
- 偷取用户资料
- 偷取用户密码和登陆态
- 欺骗用户
防御
内容转义
将html内容进行转义,最终内容是展示,不会作为脚本执行
javascript
var escapeMap = {
'"': '"',
'&': '&',
'\'': ''',
'<': '<',
'>': '>',
'`': '`'
};XSRF
跨站请求伪造
- 用户登录A网站
- A网站确认身份(给客户端cookie)
- B网站页面向A网站发起请求(带上A网站身份)
防御
增加token机制
使用post接口
增加验证码等的验证
