web前端常见安全问题

随着互联网占领生活的方方面面，安全问题日益不容忽视，
做为一个开发者，一些常见的安全问题必定要注意：

1，SQL注入
 2，XSS
 3，CSRF
 4,代理（好比fiddler）

1，SQL注入：

这个比较常见，可能你们也据说过，就是URL里面若是有对数据库进行操做的参数时，要作一下特殊的处理，
不然被别有用心的人利用的话就可能酿成大错，轻则用户信息泄露，重则数据库被删
example:

若是有以下URL，查询分页，且代码里面没有特殊处理
http://www.baidu.com/abc.asp?page=1

则在URL后面加入以下语句能够判断有无注入点
; and 1=1 and 1=2

更多其它操做请自行百度，解决方式有不少种，关键是要知道这种注入

2，XSS 全称跨站脚本攻击

这个你们都作过处理，可是并不必定知道名字，（Cross Site Scripting, 安全专家们一般将其缩写成XSS,本来应当是css，但为了和层叠样式表（Cascading Style Sheet,CSS ）有所区分，故称XSS）,

这种问题一般是因为对用户的输入没有严格的加以过滤致使的

example:

论坛A有一个评论的功能，可是并无过滤HTML标签，致使用户能够随意的经过评论在这个帖子中添加图片和脚本，
轻则影响页面样式，重则危害网站的安全，若是别有用心的人插入非法脚本，则页面有可能出现广告，
甚至丢失用户信息，进一步还能危害到整个站的安全

3，CSRF （Cross-site request forgery）跨站请求伪造

这种问题通常是因为网站把重要的用户信息不加以处理就放在本地，若是用户在访问某重要网站时，好比网银，假如用户的惟一标识信息被存在本地，

若是此时访问了非法网站，在某些特殊状况下，就有可能丢失用户重要信息，进而威胁用户安全，

example:

这个出现状况比较复杂，可能单一的问题并不会致使危害用户安全，
这里就不加以赘述，具体本身去某度了解（不是偷懒，这里毕竟不是安全讲座，说太多就跑题了 @_@!!!）

4，文件代理，好比fiddler

这种问题通常是因为把一些重要的校验，或者拦截，放在了前端，使别人有可乘之机。

example:

若是有一个视频网站，须要会员才能观看VIP电影，可是，判断是否是vip的方式就只是前端请求一个后端返回的字段，
这个时候，若是让fiddler自动响应这个请求，修改返回值，那么，前端的判断就会永远按照这个自动响应来执行。
就能够‘免费’观看VIP电影。

以上是4种比较常见的web安全问题，有些地方可能不够详细或者精确，可是若是可以让你注意到这些问题，个人目的就算是达到了，由于这只是站在一个前端的角度看待问题，让你们都注意到这些问题，进而不犯错误，就是目的。