当前位置: 首页 > news >正文

北京比较好的网站建设公司在制作网站前 不需要急于做的工作是

news 2025/9/16 20:40:10
北京比较好的网站建设公司,在制作网站前 不需要急于做的工作是,怎么做网站推广线下,安装wordpress 000该内容主要整理关于 前端安全模块 的相关面试题,其他内容面试题请移步至 「最新最全的前端面试题集锦」 查看。 前端安全模块精选篇 1. 代码注入XSS如何攻击如何防御cookie 如何防范 XSS 攻击 2. 跨站请求伪造CSRF3. 浏览器同源策略 SOP4. 跨域资源共享 CORS5. 密码…

该内容主要整理关于 前端安全模块 的相关面试题,其他内容面试题请移步至 「最新最全的前端面试题集锦」 查看。

前端安全模块精选篇

  • 1. 代码注入XSS
        • 如何攻击
        • 如何防御
        • cookie 如何防范 XSS 攻击
  • 2. 跨站请求伪造CSRF
  • 3. 浏览器同源策略 SOP
  • 4. 跨域资源共享 CORS
  • 5. 密码安全

1. 代码注入XSS

跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言

XSS 分为三种:反射型,存储型和 DOM-based

如何攻击

XSS 通过修改 HTML 节点或者执行 JS代码来攻击网站。
例如通过 URL 获取某些参数

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>

上述 URL 输入可能会将 HTML 改为 <div><script>alert(1)</script></div> ,这样页面中就凭空多了一段可执行脚本。这种攻击类型是反射型攻击,也可以说是 DOM-based 攻击

如何防御

  1. 最普遍的做法是转义输入输出的内容,对于引号,尖括号,斜杠进行转义

    function escape(str) {str = str.replace(/&/g, "&amp;");str = str.replace(/</g, "&lt;");str = str.replace(/>/g, "&gt;");str = str.replace(/"/g, "&quto;");str = str.replace(/'/g, "&##39;");str = str.replace(/`/g, "&##96;");str = str.replace(/\//g, "&##x2F;");return str
}

  2. 通过转义可以将攻击代码 <script>alert(1)</script> 变成字符串

    // -> &lt;script&gt;alert(1)&lt;&##x2F;script&gt;
escape('<script>alert(1)</script>')

  3. 对于显示富文本来说,不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。这种情况通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式

    var xss = require("xss");
var html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>');
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html);

    以上示例使用了 js-xss 来实现。可以看到在输出中保留了 h1 标签且过滤了 script 标签

cookie 如何防范 XSS 攻击

XSS (跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本,为了减轻这些 攻击,需要在 HTTP 头部配上,set-cookie

  • httpOnly 这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie
  • secure- 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie

2. 跨站请求伪造CSRF

  • CSRF 就是利用用户的登录态发起恶意请求
  • CSRF(Cross-site request forgery) 跨站请求伪造,是一种常见的攻击方式。是指 A 网站正常登陆后,cookie 正常保存登录信息,其他网站 B 通过某种方式调用 A 网站接口进行操作,A 的接口会在请求时会自动带上 cookie。

  • 同源策略可以通过 html 标签加载资源,而且同源策略不阻止接口请求而是拦截请求结果,CSRF 恰恰占了这两个便宜。

  • 对于 GET 请求,直接放到 <img> 就能神不知鬼不觉地请求跨域接口。

  • 对于 POST 请求,很多例子都使用 form 提交:

    👇 例子

    <form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST"><input type="hidden" name="acct" value="MARIA" /><input type="hidden" name="amount" value="100000" /><input type="submit" value="View my pictures" />
</form>

浏览器同源策略不能作为防范 CSRF 的方法
浏览器允许这么做,归根到底就是因为你 无法用 js 直接操作获得的结果

  • CSRF怎么获取用户的登录态
  • cookie通常是不能跨域访问的,那为什么会有CSRF攻击
  • 总结

3. 浏览器同源策略 SOP

  • 3.1 同源
  • 3.2 限制
  • 3.3 绕过跨域
  • 3.4 浏览器同源策略与ajax

4. 跨域资源共享 CORS

  • 4.1 简单请求
  • 4.2 预检请求
  • 4.3 CORS 与 cookie

5. 密码安全

http://www.yayakq.cn/news/349397/

相关文章:

  • 网站制作 外包河北住房和城乡建设厅网站
  • 家居网站建设总结辽宁建设工程信息网官方网站
  • c 网站开发北京值得去的互联网公司
  • flash个人网站模板佛山营销网站建设咨询
  • 媒体网站网页设计有哪些网站可以用
  • 织梦网站建设实训总结网络营销理论包括哪些
  • 怎么用织梦制作响应式布局网站房地产市场信息系统网站
  • wordpress图片显示缩略图seo品牌优化
  • 投票网站怎么制作网站网站建设教程
  • 网易做相册旅游网站郑州网络营销公司哪个好
  • 怎样在阿里巴巴上做网站精品展厅设计
  • 哪些网上可以赚钱的网站项目营销推广策划
  • 石家庄网站搭建公司重庆网站设计平台
  • 泉州市建设系统培训中心网站网站建设实训心得体会
  • 淘宝客网站做seo建网站要多少钱
  • 固镇网站建设哪家好?wordpress会越来越慢
  • 淘宝里网站建设公司可以吗网站开发建设准备工作
  • 在线游戏网页版怎样进行seo优化
  • 靖江网站建设价格老师直播课
  • 中山网站建设收费标准水滴保险官方网站
  • 有哪些网站做任务有佣金平面设计网站建设
  • 土特产 网站源码品牌策划案例范文
  • 建商城站用WordPress北京网站建设询q479185700上快
  • 铜川市住房和城乡建设局网站oa系统哪个比较好
  • 如何优化基础建站南京做网站seo
  • 网站建设的网络公网站开发 去哪里找页面
  • 专业网站建设最便宜网站icp备案查不到
  • 免费软件下载网站入口正能量江苏艺居建设有限公司网站
  • 兰州市建设工程招标投标中心网站帮我写一篇网站
  • 建站公司成功案例网站seo整站优化