web 前端网络漏洞

专题简介

• 常见的漏洞有哪些
• 如何预防

常见的 web 前端漏洞

• 跨站脚本（XSS）：攻击者在网页中插入恶意脚本，当其他用户访问时执行。
• 跨站请求伪造（CSRF）：伪造身份，攻击者欺骗用户的浏览器向合法的网站发起攻击者预定义的请求。
• 点击劫持（Clickjacking）：通过隐藏的 iframe，在用户未知的情况下，显示另一个页面。
• 文件包含漏洞（LFI/RFI）：通过包含恶意文件，执行恶意代码。
• URL 重写攻击：:攻击者通过 URL 重写修改 GET 请求的参数，进行攻击。

如何修复

跨站脚本（XSS）

• 输入过滤和验证
• 输出编码/转义
• 使用 innerText 或 textContent 而不是 innerHTML
• 可以设置白名单和黑名单，限制页面加载的资源类型和来源，从而防止恶意脚本和样式被加载。

跨站请求伪造（CSRF）

• 使用 CSRF Token
• 添加自定义请求头
• 不使用默认身份验证凭证
• 要求用户再次认证敏感操作
• 设置请求头
• 禁止自动登录
• 限制跨域请求
• 使用 https

点击劫持（Clickjacking）

使用 X-Frame-Options 响应头限制页面是否可以被 iframe 加载。

文件包含漏洞（LFI/RFI）

限制服务器端包含函数的文件路径，禁用远程文件包含。

URL 重写攻击

不重写 GET 请求的参数，使用 POST 请求发送敏感数据。