码迷,mamicode.com
首页 > 其他好文 > 详细

前端安全

时间:2019-09-03 00:04:07      阅读:86      评论:0      收藏:0      [点我收藏+]

标签:第一个   其他   脚本   xss   str   利用   站点   获取信息   uri   

https:

http可以被劫持、可以被篡改;

 

CSP:

network->Headers->Response Headers->Content-Security-Policy:1.允许加载的内容(可信赖的站点或源配置);2.作为防范XSS的手段之一;3.浏览器插件可以修改页面中的任何内容,CSP可以组织插件的行为;4.可以限制其他网站把自己的网页当成iframe:例如一个网页把github设为iframe,会报错(还有一个属性:X-Frame-Options),

 

XSS:

1.存储型:会把内容存储到数据库,

2.反射型:url?id=123,例如谷歌?q=xxx会直接搜索xxx,

3.Dom-based:利用dom本身的一些缺陷导致的问题

network->Headers->Response Headers->X-XSS-Protection(防反射型):

X-XSS-Protection:0

X-XSS-Protection:1(默认)

X-XSS-Protection:1;mode=block;(组织)

X-XSS-Protection:1;report=<reporting-url>(被攻击时上报,只在chrome有效)

 

CSRF:

跨站的脚本攻击。比如支付宝有一个查询余额的接口,现在有支付宝的登录态,假如支付宝没有做CSRF的防范,其他网站可能可以发起跨域请求获取信息。

真正的防范是用token。

 

 

network中的Doc是站点的第一个请求

前端安全

标签:第一个   其他   脚本   xss   str   利用   站点   获取信息   uri   

原文地址:https://www.cnblogs.com/jingouli/p/11449467.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!