- 综合排序
- 最热优先
- 最新优先
- 来自专栏HZFEStudio
前端安全
目标网站服务端未经转义存储了恶意代码,前端请求到数据后直接通过 innerHTML 渲染到页面中。 其他用户在访问该留言板时,会自动执行攻击者注入脚本。 被攻击网站前端取出 URL 的 name 字段后未经转义直接通过 innerHTML 渲染到页面中。 被害者在不知情的情况下,执行了攻击者注入的脚本。 开启 CSP(Content Security Policy,内容安全策略),规定客户端哪些外部资源可以加载和执行,降低 XSS 风险。 SSL 剥离 攻击者拦截到用户到服务器的请求后,攻击者继续和服务器保持 HTTPS 连接,并与用户降级为不安全的 HTTP 连接。 不忽略不安全的浏览器通知。 公共网络不进行涉及敏感信息的交互。 用可信的第三方 CA 厂商,不下载来源不明的证书。
46300发布于 2021-09-14 - 来自专栏javascript技术
前端安全即JS代码安全,简单前端源码安全探讨!
前端源码安全今天思考下前端源码安全的东西,不讲前端安全的大课题,只是针对于源码部分。在我看来,源码安全有两点,一是防止抄袭,二是防止被攻击。 ,其实,做一下js混淆加密,这一切就都不会发生了,可惜了,这么大的公司,不注重前端安全,得不偿失啊。 说了这么多,前端js代码混淆加密怎么做,推荐产品吧,国外有jscrmber,国内有jshaman!关于安全所有的用户输入都是不能相信的,如果后端的检查校验还做得不好,那就可能被攻破。 前端代码的逻辑如果还被了解清楚,那就是雪上加霜。后端的问题我们前端管不着,前端的代码安全,就是用混淆加密解决,让别人看不懂。 总结1、前端安全需要重视,将来会越来越被重视,因为它真重要。2、不要进行多文件压缩,不要把html、css、js压到一起,很不明智的做法。3、前端安全,就是js代码安全,对js做混淆加密是正道!
52950编辑于 2023-10-11 - 来自专栏漫漫前端路
前端安全知识
不仅仅是前端负责,后端也要做相同的过滤检查。 因为攻击者完全可以绕过正常的输入流程,直接利用相关接口向服务器发送设置。 ac… ,但是这个请求来自王五,而不是张三,他并不能通过安全认证。他需要张三的 session 。 王五自己做了一个网站,放入如下代码 bank.example/transfer? 整体思路如下: 第一步:后端随机产生一个 token,把这个token 保存到 session 状态中;同时后端把这个token 交给前端页面; 第二步:前端页面提交请求时,把 token 加入到请求数据或者头信息中 ,一起传给后端; 后端验证前端传来的 token 与 session 是否一致,一致则合法,否则是非法请求。
84620发布于 2018-08-30 - 来自专栏前端萌媛的成长之路
浅谈前端安全
安全问题的分类 按照所发生的区域分类 后端安全问题:所有发生在后端服务器、应用、服务当中的安全问题 前端安全问题:所有发生在浏览器、单页面应用、Web页面当中的安全问题 按照团队中哪个角色最适合来修复安全问题分类 后端安全问题:针对这个安全问题,后端最适合来修复 前端安全问题:针对这个安全问题,前端最适合来修复 综合以上 前端安全问题:发生在浏览器、前端应用当中或者通常由前端开发工程师来对其进行修复的安全问题 浏览器安全 同源策略 是一种约定,是浏览器最核心也最基本的安全功能,限制了来自不同源的document或者脚本,对当前document读取或设置某些属性 ? 等标签都可以跨域加载资源,而不受同源策略的限制 这些带"src"属性的标签每次加载时,浏览器会发起一次GET请求 通过src属性加载的资源,浏览器限制了javascript的权限,使其不能读、写返回的内容 三大前端安全问题 小结 综合以上三大前端安全,我们可以总结 谨慎用户输入信息,进行输入检查(客户端和服务端同时检查) 在变量输出到HTML页面时,都应该进行编码或转义来预防XSS攻击 该用验证码的时候一定要添上 尽量在重要请求上添加
5.2K20发布于 2018-05-25 - 来自专栏前端之心
web前端安全相关
}; 这里转义的原因是:<>'"字符对原有的html结构会进行破坏,从而给了攻击者拼接代码的可能 &符号必须先转义,否则其他已经被转成html实体中&符号会被重复转义 是不是使用ejs <%=%> 就安全了 ></iframe> <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object> JSON安全输出 loginData.userInfo) %> </script> ejs <%=%> 会将json里的'"号进行转义,从而导致json不合法,使用 <%-%> 原样输出json语法不会有问题,但是会带来XSS安全问题 ,所以json安全输出我们可以单独转义 var ESCAPED_CHARS = { '<' : '\\u003C', '>' : '\\u003E', '/' 我们在使用Node.js url模块的parse方法对链接进行解析后来校验,在解析过程发现一些特殊场景, 假定我们认为cloud.tencent.com是安全域名 使用@符号来构造BasicAuth协议来绕过域名校验
1.3K50发布于 2019-03-28 - 来自专栏重庆的技术分享区
前端安全问题
它主要是用来防止UI redressing 补偿样式攻击) XSS攻击 攻击过程: 主要是通过html标签注入,篡改网页,插入恶意的脚本,前端可能没有经过严格的校验直接就进到数据库,数据库又通过前端程序又回显到浏览器 <script type="type/javascript src="恶意网址"></script> 这样会通过前端代码来执行js脚本,如果这个恶意网址通过cookie获得了用户的私密信息,那么用户的信息就被盗了 unclekeith: 前端安全之CSRF攻击-get csrf,post csrf SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 那使用HTTPS是怎样进行加解密和安全数据传输的? 通过CSP协定,让WEB能够加载指定安全域名下的资源文件,保证运行时处于一个安全的运行环境中。
1.5K40发布于 2018-05-28 - 来自专栏Baili Blog
前端网络安全
2)csp(内容安全策略)。 developer.mozilla.org/en-US/docs/Web/JavaScript 3)csrf 增加token验证 csrf在ajax提交的时候通过请求头传递的给后台的 csrf在前端的 key为:X-CSRFtoken,到后端的时候进行验证 csrf在form中提交的时需要在前端form中添加{%csrftoken%} 三、中间人攻击 1、什么是中间人攻击? 众所周知,SSL/TLS证书通过加密保护着我们的通讯安全。在SSL剥离攻击中,攻击者使SSL/TLS连接剥落,随之协议便从安全的HTTPS变成了不安全的HTTP。 你应当只启用了TLS 1.1和TLS 1.2 不要点击恶意链接或电子邮件 不要下载盗版内容 将安全工具正确地安装在系统上
1.5K30编辑于 2023-03-09 - 来自专栏程序员成长指北
前端安全编码规范
来源:待你如初 https://segmentfault.com/a/1190000037657222 前言 随着互联网高速的发展,信息安全已经成为企业重点关注焦点之一,而前端又是引发安全问题的高危据点 ,所以,作为一个前端开发人员,需要了解前端的安全问题,以及如何去预防、修复安全漏洞。 下面就以前端可能受到的攻击方式为起点,讲解web中可能存在的安全漏洞以及如何去检测这些安全漏洞,如何去防范潜在的恶意攻击。 ---- 1. 那么既然反射型XSS也可以是HTML注入,那么它注入的关键自然也就从前端的HTML页面开始下手: 1. 参考文献 十大常见web漏洞及防范 hyddd CSRF攻击与防御 浅谈前端安全 前端安全
1.7K12发布于 2020-12-07 - 来自专栏全栈程序员必看
前端安全XSS和XSRF
gitbook完整版集合 文章目录 gitbook完整版集合 安全 问题:常见的web前端攻击方式有哪些 XSS跨站请求攻击 XSS预防 XSRF跨站请求伪造(类似于钓鱼链接) XSRF预防 安全 问题 :常见的web前端攻击方式有哪些 XSS跨站请求攻击 XSRF跨站请求伪造 XSS跨站请求攻击 博客前端界面嵌入script脚本 脚本内容:获取cookie发送到服务器(服务器配合跨域) 发布博客,有人查看
43430编辑于 2022-08-31 - 来自专栏踏浪的文章
细说前端基础安全知识
我们先列出常见的几种前端的安全问题,在逐一的解释每一个并谈谈简单的解决思路 XSS(Cross Site Script,跨站脚本攻击) SQL(Structured Query Language,结构化查询语言 -- 前端模版,content为后台得到的数据 --> <! %user%,那么查询的结果就不只是id=100的用户了,所有需要对前端传递的数据进行校验,这一步一般由后台人员处理,不过前端人员也可以做一个简单的验证提示,更重要的还是在后台方面。 最后 最后说一点,任何所谓的安全都是相对的,只是理论的破解时间变长了,而不容易被攻击。很多时候需要使用多种方法相结合的方式来一起增加网站的安全性,可以结合验证码等手段大大减少盗刷网站用户信息的频率等。 进一步增强网站内容的安全性。
62441发布于 2019-07-31 - 来自专栏Web 开发
Web前端安全学习-CSRF
今天下午上了一堂前端安全的课,挺有意思,记录下来。在上课之前,我对安全的概念是: 用户输入是不可信的,所有用户的输入都必须转义之后才入库。 在数据库有了一层安全保护之后,攻击者们的目标,从服务器转移到了用户身上。由此,出现了CSRF攻击和XSS攻击。
50500发布于 2018-08-08 - 来自专栏ShanSan的云原生之路
Web前端安全问题
在互联网时代,信息安全成为一个非常重要的问题,所以我们西部了解前端的安全问题,并且知道如何去预防、修复安全漏洞。 在前端有几种常见的攻击方式:XSS、CSRF、点击劫持、中间人攻击、SQL注入、OS命令注入。 XSS攻击 什么是XSS攻击? , '`') str = str.replace(/\//g, '/') return str } 2、CSP CSP全称Content Security Policy,内容安全策略 SCRF攻击有以下几种防范措施: 禁止第三方网站带Cookies 在前端页面加入验证信息 禁止第三方网站请求 Get请求不对数据进行修改 点击劫持 什么是点击劫持? 点击劫持是一种视觉欺骗的攻击手段。 防御中间人攻击,只需要增加一条安全通道传输信息。 SQL注入攻击 SQL攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制web应用程序后边的数据库服务器。
97710发布于 2020-07-06 - 来自专栏Fin
安全架构中的前端安全防护
根据Gartner 对安全架构的定义,安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态 因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。由于文章篇幅有限,内容聚焦在安全架构中的前端安全防护范畴。 安全设计原则当今安全设计经典理论中,最为经典、被引用最多的是由 MIT 的 Saltzer 教授在 1975 年首先提出的 8 大安全设计基本原则,被安全业界奉为 “经典安全原则”。 前端安全问题近年来有8大问题尤其引起关注:跨站脚本攻击(Cross-Site Scripting)使用iframe的风险点击劫持错误的内容推断不安全的第三方依赖包HTTPS中间人攻击本地存储数据泄露CDN 劫持/污染如此多的、影响重大的前端安全问题,直接把软件安全防范推上了风口浪尖,安全人员面临着挑战也倍数级增长。
83600编辑于 2022-11-23 - 来自专栏ffffffff0x
浅谈web安全之前端加密
很明显可以看到 password 参数的值是经过前端加密之后再进行传输的,遇到这种情况,普通发包的爆破脚本就很难爆破成功。所以我们需要明白基础的加密概念,与常见的加密方式。 delc; }//返回分隔符 Hash算法 Hash 算法是一个广义的算法,也可以认为是一种思想,使用Hash算法可以提高存储空间的利用率,可以提高数据的查询效率,也可以做数字签名 来保障数据传递的安全性 utf-8编码) return java.util.Base64.getEncoder().encodeToString(bytes);//输出值 } } 下面配合实战案例来看一看 --- 实战案例 前端加密示例 --- 总结 本文从几种常见的加密方式切入,对目前web前端加密的几种情况进行了概括。并结合真实案例给出了两种加密的对抗方法。 对于web安全来说,前端的加密是事倍功半,应该真正把重心着眼于后端,当然前后端同时加固必然是最优解。由于篇幅有限,本文无法展开描述,后续会慢慢补充关于web加密的这部分内容。
1.7K51发布于 2020-12-21 - 来自专栏前端安全
前端安全之XSS攻防之道
2.存储型XSS 存储型XSS顾名思义,是将攻击代码通过某种方式存储到服务器端,等到某个特定环境的时候,再在前端展示解析并执行,达到攻击的目的。 图3显示了存储型XSS经历4个环节: (1)前端表单制造内容------(2)提交内容------(3)存储内容-------(4)前端HTML显示存储的内容 其中第2步可以伪造,可以不通过前端页面发布内容 所以在入库的时候在后端逻辑中过滤是最直接也是最省事和安全的。 . 不推荐2 博客显示的时候使用innerText或者$.text()方法,但是这种方法不推荐使用。 3.3 PostMessage攻击 有一类XSS是通过前端跨域的机制,让网站执行了跨域的不安全脚本导致的。 something 3.4 第三方组件漏洞 这种类型的XSS危害性很大,第三方组件的漏洞导致的XSS不是特指某一种类型的XSS,而是指页面中引用第三方组件,调用第三方组件的方法时,由于第三方组件的漏洞导致的XSS安全问题
1.3K40发布于 2019-09-03 - 来自专栏前端小菜鸟
前端开发涉及的Web安全
前端开发涉及常见的Web安全漏洞有:浏览器Web安全,跨站脚本攻击(XSS),跨站请求伪装(CSRF),点击劫持,HTTP劫持,DNS劫持,文件上传漏洞等,以跨站脚本攻击漏洞最为常见,作为前端开发需要了解一些基本的 Web安全漏洞和相关的防御措施。 浏览器安全 同源策略 同源策略:是浏览器安全功能的基本措施,限制了来自不同源的脚本和document对当前对象的一些属性的获取或者设置。同源策略的影响因素:域名或者IP,子域名,端口,协议。 不同的进程各自分工通过特殊接口通信,browser进行管理浏览器前端页面,renderer进程管理page tab,browser进程管理renderer进程的资源分配,chrome的SandBox用来保护 通过判断不同的操作系统,不同的浏览器以及版本信息,攻击者可以更精准的实施安全攻击。 XSS的防御: a. 前端输入输出进行检查,对于特殊字符进行过滤,转码等操作 b.
1K20发布于 2019-10-21 - 来自专栏前端知知
前端安全问题之XSS
XSS(Cross-site scripting)跨站脚本攻击是恶意用户在网站中注入的脚本,当正常用户打开网站时受到影响并可能获取用户cookie等信息一种安全攻击行为。
56410编辑于 2022-09-29 - 来自专栏ThoughtWorks
WEB前端安全自查和加固
前端主要需要考虑的安全问题有npm生态下依赖的安全性、XSS跨站脚本攻击。 这个世界上没有绝对的安全,即使CSP这类极其严格的策略都有可能被绕过,前端开发中安全也需要考虑成本,应该选用性价比高的安全策略。安全也不是独立的,应该和服务器、甚至操作系统层面联合考虑。 就前端项目来说,需要考虑的安全问题相对较少,受到攻击后的损失也不及服务器被攻击后那么大,前端主要需要考虑的安全问题有: npm生态下依赖的安全性。 启用CSP浏览器安全策略 在银行和金融类项目,对安全要求非常重视。大家都知道的一个例子是银行项目都实现了自己的键盘输入控件,目的是防止操作系统的键盘Hook,这个超出前端开发需要考虑的内容。 最后这个世界上没有绝对的安全,即使CSP这类极其严格的策略都有可能被绕过,前端开发中安全也需要考虑成本,应该选用性价比高的安全策略。
89710发布于 2020-07-17 - 来自专栏finclip小程序ide
浅析App安全架构之前端安全防护
此后,HTML5又大行其道,互联网上的应用越来越复杂,Web前端效果也逐步丰富和提高,但其中却隐藏了更多的安全隐患。 其中Web前端的安全是众多安全防护工作中的一个重要分支,所以文章聚焦在安全架构中的前端安全防护范畴。 Web前端应用中所存在的问题就现在的技术而言,现代化的Web前端设计工具可以极 大减少Web前端设计的工程量,但是却无法解决在Web前端 应用中所存在的问题。 界面设计问题在Web前端应用过程中会产生界面需求,需要在Web前端的开发与应用过程中使用界面元素。界面元素的合理运用不但有利于网站的美观,而且与用户的实用性息息相关。 结语Web前端设计要想更好地得到应用,就必须寻找适合自身发展的技术,在减轻工作量的同时,能够给用户更好的上网体验,安全防护工作当然也必须到位!!
1.1K60编辑于 2022-11-25 - 来自专栏我的安全视界观
【企业安全】企业安全项目-前端绕过专项整改
前端绕过专项整改是我加入公司后,参与的第一个“伤筋动骨”(涉及底层逻辑设计,影响整个公司业务)类安全项目,也差不多是公司内部自己开展的第一个影响范围广的业务相关安全项目。 这里所指的前端安全,听上去像是关于JS、HTML5等方面的安全,但其实不然,实则是一些关于会员体系方面业务逻辑漏洞的整改。 ,可以绕过手机验证码设置密码 【安全】【高危】忘记密码实现逻辑有问题,当前所有忘记密码操作可以绕过 【安全】【高危】APP通过修改服务器响应结果返回到前端,可以绕过验证码 【安全】【高危】忘记密码操作绕过图片验证码能获取到敏感信息 【安全】【高危】忘记密码流程中敏感信息泄露 【安全】【高危】验证码绕过 【安全】【中危】忘记密码业务逻辑存在漏洞,导致遍历用户名、email等信息 【安全】【中危】注册场景应在验证码校验以后再判断手机号是否被使用 【安全】【中危】余额变动短信关闭时可以绕过支付密码校验 【安全】【中危】短信验证码及图片验证码绕过漏洞 【安全】【中危】绑定手机号可以前端绕过 【安全】【中危】签入无防暴力破解机制 经过梳理总结出以下存在安全隐患的业务场景
1.1K50发布于 2018-06-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号