乐趣区

关于前端:web安全小节

WEB 前端平安

页面平安

  • 同源策略
  • xss 跨站脚本攻打(cross site scripting)
    通过 form 表单或者 xhr 申请等形式注入歹意脚本,骗取浏览器执行这些歹意脚本获取用户信息
    持久性攻打: 通过留言版等性能输出恶意代码,提交后会被保留在数据库中,用户浏览这些数据时被执行这些恶意代码而后窃取用户数据
    非持久性: 只在以后执行

    http://a.com?q=![]()

    进攻: 过滤用户提交的危险字符

        CSP(content-security-policy)
        设置 cookie 为 httpOnly, 使得 JavaScript 不能通过 document.cookie 等形式来获取 cookie
    
  • csrf 跨站申请伪造(cross site request forgery)
    通过登录了指标网站用户,以超链接等形式跳转到第三方网站,利用携带的 cookie 信息,伪造身份向指标网站发送申请(删除,转账 …)
    进攻: 网站利用验证申请发送方 sameSite 严格模式 strict;指标网站验证申请(所有申请必须携带指标网站下发的 token 来验证身份)

网络安全

  • http / https
    http: 明文发送,有被窃取批改的危险
    不验证通信方身份,不能确定报文的完整性
    https: 数据加密,身份验证

    https 采纳非对称加密和对称加密技术
    向 CA 申请证书蕴含(公钥,CA 数字签名)
    拜访服务器 -> 服务器下发证书 -> 客户端查看证书(通过数字签名验证) -> 生成随机 hash 值 -> 应用服务器公钥进行加密 -> 将加密后的内容发送到服务端 -> 服务端通过本人的私钥匙解密,验证胜利后,将这个随机值作为对称加密的密钥

浏览器系统安全

  • 浏览器平安通过平安沙箱的隔离性保障平安,让渲染过程在运行中无法访问或批改操作系统中的数据,如果渲染过程须要拜访系统资源只能通过浏览器内核 (主过程, 网络过程 …) 将后果通过 IPC 转发给渲染过程
退出移动版