Web安全常见基本知识
1、XSS
跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。
反射性
通过在传参处植⼊代码,实现数据的传输。
存储型
借助存储能⼒,植⼊恶意代码。当⽤户读取该输⼊时,如果是直接运⾏到页⾯。就会把恶意脚本⼀并执⾏。
常见危害
获取页⾯数据
获取Cookies
劫持前端逻辑
发送请求
偷取⽹页数据
偷取⽤户信息
偷取⽤户的登录态
欺骗⽤户
防范⽅案
EAD
通过添加 header 来禁⽌ XSS 过滤
ctx.set('X-XSS-Protection', 0)
0 禁⽌
1 启动(默认)
CSP
内容安全策略 (CSP, Content Security Policy)。建⽴⽩名单,告诉浏览器哪些外部资源可以加载和执⾏。
只允许加载本站资源
Content-Security-Policy: default-src 'self'
只允许加载 HTTPS 协议图⽚
原文链接:https://wenku.baidu.com/view/af416fdc0a75f46527d3240c844769eae109a355.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18496
