. 前沿

之前做过互联网金网，或者涉及到金融，结账，说白了就是接触到钱的问题前端安全就会县的尤为重要了。我了解的也不是很透彻，这个东西还是要好好学习一下啊。
目前来说前端安全一般有三个攻击网站的方法

第一个 xss攻击

xss：跨站脚本攻击，攻击者通过注入非法的html标签或者javascript代码，从而当用户浏览该网页时，控制用户浏览器。

• 1，利用虚假输入表单骗取用户个人信息。
• 2，利用脚本窃取用户的cookie，帮助攻击者发送恶意请求。
• 3，显示伪造的文章或者图片。

如何防范

• 只要有输入数据的地方就有可能有xss攻击，例如：登录，注册，填写个人信息。
  防范措施：
• 1，前后端对输入的内容进行检验，过滤
• 2，在cookie中设置httpOnly属性js脚本就无法获取cookie信息。

第二个 csrf攻击

跨站点请求伪造，冒充用户发起请求。

• 1，更新用户信息
• 2，使用已通过 的用户信息购买产品
• 3， 使用已通过 的用户信息发表评论

如何防范

• 1, 验证码，极验，就是在做一些重要操作时需要进行验证才能完成，这样可以更好的防范csrf
• 2, 众所周知，尽量使用post请求
• 3， 请求加token验证

第三个 点击劫持

就是利用网页上透明的按钮或链接做成陷阱，当用户点击时跳转到攻击页面，最为常见的就是

iframe

如何防范

X-FRAME-OPTIONS HTTP 响应头是用来给浏览器指示允许一个页面是否应该加载

<iframe>

修改web服务器配置，添加

X-FRAME-OPTIONS

响应头

X-FRAME-OPTIONS

的配置项

• 1， DENY:不能被潜入到任何iframe中
• 2，SAMEORIGIN： 页面只能被本站页面嵌入
• 3，ALLOW-FORM url: 只能被嵌入到指定的域名框架中

结束语

其实我了解的也是皮毛，在项目中常用的就就是token和极验，还需要多多学习。

• 点赞
• 收藏
• 分享
• 文章举报