前端安全
https:git
http能够被劫持、能够被篡改;github
CSP:chrome
network->Headers->Response Headers->Content-Security-Policy:1.容许加载的内容(可信赖的站点或源配置);2.做为防范XSS的手段之一;3.浏览器插件能够修改页面中的任何内容,CSP能够组织插件的行为;4.能够限制其余网站把本身的网页当成iframe:例如一个网页把github设为iframe,会报错(还有一个属性:X-Frame-Options),数据库
XSS:跨域
1.存储型:会把内容存储到数据库,浏览器
2.反射型:url?id=123,例如谷歌?q=xxx会直接搜索xxx,dom
3.Dom-based:利用dom自己的一些缺陷致使的问题网站
network->Headers->Response Headers->X-XSS-Protection(防反射型):url
X-XSS-Protection:0spa
X-XSS-Protection:1(默认)
X-XSS-Protection:1;mode=block;(组织)
X-XSS-Protection:1;report=<reporting-url>(被攻击时上报,只在chrome有效)
CSRF:
跨站的脚本攻击。好比支付宝有一个查询余额的接口,如今有支付宝的登陆态,假如支付宝没有作CSRF的防范,其余网站可能能够发起跨域请求获取信息。
真正的防范是用token。
network中的Doc是站点的第一个请求
相关文章
- 1. 前端安全
- 2. 【安全】前端安全
- 3. 前端安全类
- 4. 前端安全 - CSP
- 5. 前端安全CSRF
- 6. web前端安全
- 7. web 前端安全
- 8. 前端——安全类
- 9. 【前端安全】Cookies
- 10. 【前端安全】xss
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • Composer 安装与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 前端安全
- 2. 【安全】前端安全
- 3. 前端安全类
- 4. 前端安全 - CSP
- 5. 前端安全CSRF
- 6. web前端安全
- 7. web 前端安全
- 8. 前端——安全类
- 9. 【前端安全】Cookies
- 10. 【前端安全】xss