本篇文章给大家谈谈学期前端安全工作,以及学期前端安全工作计划对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
今天给各位分享学期前端安全工作的知识,其中也会对学期前端安全工作计划进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
前端安全防范
CSRF(Cross-Site Request Forgery)的意思是跨站点请求伪造,也被称作一键攻击或会话控制。其原理是攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或使用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务器接收后会被误以为是用户合法的操作。对于GET形式的接口地址可轻易被攻击。对于POST形式的接口地址也不是百分百安全,攻击者可以诱导用户进入带Form表单并且可用POST方式提交参数的页面。
一个典型的CSRF有着如下的流程:
受害者访问包含这个img的页面后,浏览器会自动向发出一次http请求,网站会收到包含受害者登录信息的一次跨域请求。
这种类型的CSRF利用起来通常使用的是一个自动提交的表单,访问该页面后,表单会自动提交,相当于
模拟用户完成了一次POST操作。
POST类型的攻击通常比GET要求更严格一些,但不能将安全寄托在仅允许POST上面。
链接类型的CSRF并不常见,比起其他两种用户打开页面就中招的情况,这种需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片里嵌入恶意链接,或者以广告的形式诱导用户中招。
上文中讲了CSRF的两个特点:
针对这两点,可以专门制定防护策略:
在http协议中,每一个异步请求都会携带两个Header,用于标记来源域名:
这两个Header在浏览器发起请求时,大多数情况会自动带上,并且不能由前端自定义内容,服务器可以通过
解析这两个Header中的域名,确定请求的来源。
如果origin存在,那么直接使用origin中的值来确定来源域名就可以。但是origin在一下两种情况并不存在:
根据http协议,在http头中有一个字段叫referer,记录了该http请求的来源地址。
对于Ajax请求,图片和script等资源的请求,referer为发起请求的页面地址。
对于页面跳转,referer为打开页面历史记录的前一个页面地址。
因此我们使用referer中链接的origin部分可以得知请求的来源域名。
将referer policy的策略设置成same-origin,对于同源的链接和引用,会发送referer,referer的值为host不带path;跨域访问则不携带referer。
设置referer policy的方法有三种:
在以下情况里referer没有被携带或者不可信:
前端数据安全有哪些预防方法
前端数据安全的预防方法包括:
1. 使用加密
算法保护数据,防止数据泄露;
2. 实施严格的访问控制,防止未经授权的访问;
3. 对用户输入进行安全验证,如 XSS 攻击预防;
4. 加入双重认证机制,防止恶意攻击;
5. 及时更新系统,以防止漏洞被利用;
6.
配置防火墙,阻止未经授权的网络访问。
拓展:除了上述的常规预防措施之外,前端数据安全还需要借助一些专业的工具来进行管理,如安全审计系统、安全扫描工具等。另外,应该及时掌握最新的安全技术和行业动态,以便及时发现安全漏洞,并采取有效的措施防范。
前端安全
什么时候会跳过preflightrequest
Stored:存储
Reflected:反射性
DOM-based:未连接服务器
例子:
XSS防御:
标签白名单
转义(HTML + JavaScript)
禁止动态修改 CSS 资源引用
特殊协议(dataURI)
减少/避免一些 DOM 操作
CSP: 只允许从我认可的地方加载资源
验证码
Referer:请求头从哪个网站来的(HTTP Referer是header的一部分,当浏览器向web 服务器 发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。)
Anti CSRF Token:
尽量用 POST
DNS 劫持:
本地 host
设备(路由器/交换机)
DNS 服务器
HTTP劫持:
Man-in-the-middle attack(MITA)
防御 HTTP 劫持:
CSP
SRI
HTTPS
Browser:支持的 TLS 版本 + 加密套件,一个随机数1
Server:选择 TLS 版本 + 加密套件,一个随机数2,[session id]
[Server:证书(public key)]
[Server:ServerKeyExchange]
Server:over
Browser:验证证书,用证书中的 public key 加密新的随机数3,生成 PreMasterSecret
Browser + Server:使用 随机数1 + 随机数2 + PreMasterSecret,计算出 master secret,此后,所有信息都会用 master secret 加密
Browser:之前几步,涉及信息的 HASH + MAC,server 验证
Server:重复 browser 刚刚做的
关于学期前端安全工作和学期前端安全工作计划的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
学期前端安全工作的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于学期前端安全工作计划、学期前端安全工作的信息别忘了在本站进行查找喔。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
暂时没有评论,来抢沙发吧~