前端安全問題主要有XSS、CSRF攻擊
XSS:跨站腳本攻擊
它允許使用者将惡意代碼植入到提供給其他使用者使用的頁面中,可以簡單的了解為一種javascript代碼注入。
XSS的防禦措施:
1.過濾轉義輸入輸出
2.避免使用eval、new Function等執行字元串的方法,除非确定字元串和使用者輸入無關
3.使用cookie的httpOnly屬性,加上了這個屬性的cookie字段,js是無法進行讀寫的
4.使用innerHTML、document.write的時候,如果資料是使用者輸入的,那麼需要對象關鍵字元進行過濾與轉義
CSRF:跨站請求僞造
其實就是網站中的一些送出行為,被黑客利用,在你通路黑客的網站的時候進行操作,會被操作到其他網站上;
CSRF防禦措施:
1.檢測http referer是否是同域名
2.避免登入的session長時間存儲在用戶端中
3.關鍵請求使用驗證碼或者token機制
其他的一些攻擊方法還有HTTP劫持、界面操作劫持