前端安全涉及几种分类:
1.CSRF
1.基本概念和缩写
CSRF即Cross-site request forgery称为跨站请求伪造
2.攻击原理
要点:
1.网站的某个接口存在漏洞
2.用户在网站A确实登录过,只有登录过,服务端会返回cookie,而cookie是在每个请求自动携带的,sowangzhanB会引诱用户点击链接访问网站A的某个接口,帮用户恶意做一些事情
3.防御措施
Token验证
注册成功或者访问这个网站,服务器会自动的向本地存储一个token,在访问各种接口的时候如果没有带token,则不能通过验证
Referer验证
页面来源,服务器判断客户端请求是否来源于服务端站点下的页面,是,则允许访问,否则一律拦截
隐藏令牌
隐藏在http header头中,不会放在链接上
2.XSS
1.基本概念和缩写
XSS即cross-site scripting,称为跨域脚本攻击
2.攻击原理
通过向页面注入脚本
3.防御措施
让插入的js不可执行