web前端安全

xss

xss是什么呢，说白了就是浏览器在不该该执行js的地方，被恶意插入了js代码，从而执行了一些原本不想执行的js代码。 既然是js代码，那就必须有路径进入 1，url 2，get post 请求 防范： 1， 从url获取的信息，前端进行对特殊字符进行转意和替换特殊字符，好比script 转换以后，浏览器就只会展现，可是不会执行这些脚本了。 2， 设置http-only

csrf

就是在用户登陆的状况下，诱惑用户访问非法网站，而后本身带上cookie，去合理的请求非法信息。 防范： 1， 判断请求来源 2， 加一个额外的信息token，登陆后的请求都带上token，隐藏一个token 3， 多长时间没有操做能够登出

HTTP劫持

使用ifram嵌入页面，ui 装饰来诱导用户点击 防范： X-Frame-Options 禁止页面加载iframe， 或者设置ifame sanbox属性，把ifame的权限设置在最小的范围内。

一些设置

好比csp，设置可信来源，X-Content-Type-Options 浏览器解析类型，