小程序页面之间进行传值的操作办法
860
2023-01-11
本文关于前端安全解决方案有哪些?前端安全问题及防范
一、CSRF安全漏洞
CSRF通过模仿客户端的请求获取信息。jsonp客户端确实可以模仿请求,但因为对于请求,ajax请求,有同源策略限制,已经做了域名过滤,所以一般没有问题。
解决方案:
1、检查报头中的内容referer参数确保请求来自正确的网站
(但XHR请求课调用setRequestHeader方法来修改Referer报头)
2、需要重新验证任何重要请求的用户身份;
3、创建一个唯一的令牌(token),将其存在于服务端session中和客户端cookie中,
任何请求, 检查两者是否一致。
二、XSS安全漏洞
通过URL这种介绍主要是前端分析url中参数,对数参数执行innerHTML 或者 html 或者 append 操作html()或者append()到html在文件中,它将被执行js代码,被错误用户获取cookie等信息。
示例:
原始链接 : https://xx.xxx.com/efly.html?link=cc 被XSS注入后的链接 : https://xx.xxx.com/efly.html?link=eeec<img src=1 onerror=alert(document.cookie)>
解决
使用正则匹配去除某些字符串,过滤域名 function filterXss(str, regExp){ // let regex = /<(\S*?)[^>]*>.*?|<.*? \/>/gi; // 去除包含<>内容,防止xss漏洞 let filterValue = str.replace(/<.*?>/g,''); // 去除<开头类型的xss漏洞 filterValue = str.replace(/< .*$/g,''); if(regExp && !regExp.test(filterValue)){ filterValue = ''; } return filterValue; }
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~