前端防御系列

大家好，我是右子。

XSS（跨站脚本供给）：

• 解决方法：
  • 基于可输入文本的输入操作，把script/object这种敏感的标签转化为普通字符。
  • 利用CSP（Content-Security-Policy），也叫“网页安全策略”。对标题头设置白名单列表，只有通过设置的链接才可以加载。

CORS（跨站资源共享）：

• 解决方法：
  • 设置指定的域名。
  • 当有多个域名时，可以单独设置Origin字段来区别。
• 相关请求头：

  • Access-Control-Allow-Origin: 允许的域

  • Access-Control-Allow-Credentials: 是否允许附带身份认证

  • Access-Control-Allow-Methods: 发起请求允许的HTTP方法

  • Access-Control-Allow-Headers: 实际请求允许携带的头

  • Access-Control-Expose-Headers: 允许把浏览器访问的头放入白名单

  • Access-Control-Request-Headers: 跨域请求时带上的头信息，用于访问的方法

  • Access-Control-Request-Method: 跨域请求时带上的头信息，用于请求的方法

CSRF（跨站伪造请求）：

• 解决方法：
  • http设置csrf的token，或者验证refresh字段验证请求来源。
  • 不管什么验证拦截，对于简单请求而言，请求已经发送，已造成了攻击。