安全性

前端安全问题有哪些？

• XSS 跨站请求攻击
• XSRF 跨站请求伪造
• 上边这两个问题，前端也只是辅助，主要还是靠后端

XSS原理

• 在博客里可以写文章，同时偷偷插入一段<script>代码。
• 发布博客，有人查看博客内容
• 打开博客时，就会执行插入的js攻击代码
• 在攻击代码中，获取cookie(其中可能包含敏感信息)，发送到攻击者的服务器，攻击者就得到了博客阅读者的信息。

XSS预防

• 前端替换关键字，如<替换为<
• 但前端替换影响性能，一般都后端替换

XSRF原理

• 你已经登陆了购物网站，正在浏览商品
• 该网站的付费接口是xxx.com/pay?id=100，但是没有任何验证
• 然后你收到一封邮件，隐藏着<img src="是xxx.com/pay?id=100">
• 你查看邮件的时候已经悄悄付费购买了

XSRF预防

• 增加验证流程，如指纹，密码，短信验证码
• 实际工作中前端也就是配合后端做这些验证

 

一般安全性问题有哪些？

XSS: 跨站脚本攻击

在用户可以输入