相信大家對前端漏洞的成因和攻擊方式都有一定的了解。隻有熟悉了“進攻”,才能對防守有更深的了解。畢竟防守永遠比進攻難。接下來,我們将進入詳細研究。防禦前端攻擊主要有三個角度。
1.網站XSS防禦。網站防禦是指在網絡層面和代碼層面防止XSS的形成。在編寫程式時,我們應該仔細處理将輸出到頁面的每個參數,始終記住使用者的任何輸入都可能不可靠,并過濾正常參數,如<,>,=,等敏感符号。在操作富文本元素時,要過濾腳本标簽和、等常見JS事件元素,防止惡意JS被執行。與此同時,它已經出現在網絡上。
2.使用者防禦。前端漏洞不同于注入攻擊和其他漏洞。其中一些(如跨站XSS攻擊)在一定程度上仍然依賴于使用者的人工觸發,是以作為使用者,安全意識也是必不可少的。目前主要的攻擊方式是在看似可信的網站中插入惡意的JS代碼,往往很難防範,是以養成警惕上網的習慣非常重要,比如:(1)不要輕易打開莫名其妙的郵件;(2)不要打開陌生人發送的不可信連結;(3)打開大量轉發的文章加入其中的樂趣并不容易(因為可能是黑客釋出的XSS蠕蟲)。一般來說,使用者在前端攻擊面前保護自己的方式很少,有時還是很難防範。是以,我們應該着眼于網際網路安全的發展,希望讀者在學習完本章後能夠了解這種情況,并盡最大努力提高網際網路的安全性。
3.浏覽器防禦。随着前端安全問題越來越受到重視,浏覽器制造商已經開始采取行動為使用者提供更安全的網際網路環境。IE浏覽器的XSSfilter和Chrome浏覽器的XSSauditor可以有效限制反射式XSS攻擊。如果讀者是一個有安全意識的人,那麼将你的預設浏覽器設定為Chrome将是一個非常明智的選擇,因為大多數基于前端攻擊的惡意連結在它面前可能是無可奈何的。也希望在浏覽器廠商的積極配合下,前端安全問題能在未來幾年成為曆史,讓人們的網際網路環境在安全性上更加無懈可擊。如果很多朋友對XSS防護上還是不知道怎麼去做的話可以到網站安全公司去瞅一瞅尋求幫助。國内像SINESAFE,鷹盾安全,大樹安全,啟明星辰都是針對于網站安全防護的安全公司。