这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天
-
xss
- 在页面中注入恶意脚本
- 主要是开发者盲目信任用户的输入内容, 然后把用户输入转变为dom并插入到页面, 就会使xss生效
-
危害
- 难以从ui上察觉, 后来运行脚本
- 窃取用户信息, 例如cookie和token
- 还可以绘制ui, 诱使用户点击填写表单
-
分类 存储类xss
- 恶意脚本存储在数据库中
- 任何用户访问页面都会被攻击
- 对全部用户可见
-
放射性 xss
- 不涉及数据库
- 从url上攻击
-
dom xss
- 不需要服务器参与
- 恶意攻击的发起执行全部在浏览器完成
-
根据浏览器特性进行攻击
-
csrf 跨站伪造请求
- 在用户不知情的情况下
- 利用用户权限
- 构造指定HTTP请求, 窃取或修改用户敏感信息
-
注入攻击
- SQL 字符串拼接
- 命令行
- 系统命令
- ssrf 在服务端执行的命令上注入恶意代码
-
dos
正则贪婪模式的回溯
-
ddos 短时间内 构造大量tcp请求
-
中间人攻击 恶意路由器 isp webview
-
xss防御
- 不要相信用户提交的内容
- 不生成dom而是生成字符串
- 前端框架默认防御xss
- node dompurify
- svg可以插入script
-
同源策略 协议 域名 端口号都相同
-
csp 从域名角度拒绝恶意脚本
-
csrf origin refer token
-
x-frame-options
-
避免get加上post请求
-
samesitecookie
-
代码扫描以及正则性能测试不要贪婪
-
流量过滤
-
cdn 非核心服务降级
-
https避免HTTP中间人攻击
-
sri 通过hash避免资源被修改
