-
webscoket:客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。
-
xss:
- 概念: 跨站脚本攻击,原理: 通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序
- 场景: 评论功能,或者通过v-html渲染
- 解决: 采用三方库,dompurify,使用比较简单,装包,通过该包中的sanitize方法可以将要渲染的数据提前进行过滤,过滤掉可能会有攻击的代码
-
csrf:CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网站攻击方式攻击原理:利用请求自动携带cookie攻击流程:
- 张三登录某银行网站(mouyinhang.com)
- 登录成功将用户信息存储到cookie中
- 在银行网站引导张三进入(攻击网站)
- 再攻击网站中向银行网站发送转账请求(mouyinhang.com/zhuangzhang)会自动携带cookie,
- 攻击成功A网站 => 登录 => 用户信息存到cookie => 张三跳到B网站 => B网站发请求 A网站/转账请求 自动携带cookie => 服务端 用户信息 处理成功A网站 => 登录 => 用户信息存到cookie => 转账 发起请求携带referer/www.a.com => 服务端 获取referer, referer是合法的,相应成功,转账成功A网站 => 登录 => 用户信息存到cookie => 张三跳到B网站 => B网站发请求 A网站/转账请求,没有携带referer 自动携带cookie => 服务端一看,没有referer, 不知道是请求是在哪里过来的,相应失败解决方案:
- 在请求头中添加referer字段,向服务端表明来源,服务端通过监测来源是否合法
- 服务端在返回一个token,客户端将token存储后,每次都在额外携带一个token
- 加入验证码
