主頁 > 公司新聞 > 技術前沿 >

8大前端安全問題

時間:2018-06-08 作者:創杰科技 來源:互聯網 瀏覽次數:

“安全”是個很大的話題,各種安全問題的類型也是種類繁多。如果我們把安全問題按照所發生的區域來進行分類的話,那么所有發生在后端服務器、應用、服務當中的安全問題就是“后端安全問題”,所有發生在瀏覽器、單頁面應用、Web 頁面當中的安全問題則算是“前端安全問題”。比如說,SQL 注入漏洞發生在后端應用中,是后端安全問題,跨站腳本攻擊(XSS)則是前端安全問題,因為它發生在用戶的瀏覽器里。

  除了從安全問題發生的區域來分類之外,也可以從另一個維度來判斷:針對某個安全問題,團隊中的哪個角色最適合來修復它?是后端開發還是前端開發?

  總的來說,當我們下面在談論“前端安全問題”的時候,我們說的是發生在瀏覽器、前端應用當中,或者通常由前端開發工程師來對其進行修復的安全問題。

  8 大前端安全問題

  按照上面的分類辦法,我們總結出了 8 大典型的前端安全問題,它們分別是:

  1. 老生常談的 XSS

  2. 警惕 iframe 帶來的風險

  3. 別被點擊劫持了

  4. 錯誤的內容推斷

  5. 防火防盜防豬隊友:不安全的第三方依賴包

  6. 用了 HTTPS 也可能掉坑里

  7. 本地存儲數據泄露

  8. 缺失靜態資源完整性校驗

  由于篇幅所限,本篇文章先給各位介紹前 4 個前端安全問題。

  1、老生常談的 XSS

  XSS 是跨站腳本攻擊(Cross-Site Scripting)的簡稱,它是個老油條了,在 OWASP Web Application Top 10 排行榜中長期霸榜,從未掉出過前三名。XSS 這類安全問題發生的本質原因在于,瀏覽器錯誤的將攻擊者提供的用戶輸入數據當做 JavaScript 腳本給執行了。

  XSS 有幾種不同的分類辦法,例如按照惡意輸入的腳本是否在應用中存儲,XSS 被劃分為“存儲型 XSS”和“反射型 XSS”,如果按照是否和服務器有交互,又可以劃分為“Server Side XSS”和“DOM based XSS”。

  無論怎么分類,XSS 漏洞始終是威脅用戶的一個安全隱患。攻擊者可以利用 XSS 漏洞來竊取包括用戶身份信息在內的各種敏感信息、修改 Web 頁面以欺騙用戶,甚至控制受害者瀏覽器,或者和其他漏洞結合起來形成蠕蟲攻擊,等等。總之,關于 XSS 漏洞的利用,只有想不到沒有做不到。

  如何防御

  防御 XSS 最佳的做法就是對數據進行嚴格的輸出編碼,使得攻擊者提供的數據不再被瀏覽器認為是腳本而被誤執行。例如

  瀏覽器在處理這個 script 元素的時候,就會檢查對應的 JS 腳本文件的完整性,看其是否和 script 元素中 integrity 屬性指定的 SRI 值一致,如果不匹配,瀏覽器則會中止對這個 JS 腳本的處理。


一本一本久久a久久精品宗合于田真里