Web开发安全之旅，防御篇

用户不存在啊

2023-02-21 82 阅读1分钟

这是我参与「第五届青训营」伴学笔记创作活动的第 38 天，昨天对Web开发安全之旅的攻击篇的课堂内容做了笔记，今天来对防御篇进行介绍，下面就是我在课堂上学的关于防御篇的内容：

防御篇

XSS

永远不信任用户的提交内容，不要将用户提交的内容直接转换成DOM。

现成的工具：前端：主流框架默认防御XSS，google-closure-library。

服务端（Node）：DOMPurify

注意：

屏幕截图 2023-02-21 211752.png

屏幕截图 2023-02-21 211944.png

屏幕截图 2023-02-21 212014.png

屏幕截图 2023-02-21 212044.png

屏幕截图 2023-02-21 212113.png

插播：same-origin Policy

屏幕截图 2023-02-21 212316.png

Conten Security Policy(CSP)

Conten Security Policy(CSP)：那些源（域名）被认为是安全的；来自安全源的脚本可以执行，否则直接报错；对eval + inline script直接拒绝。屏幕截图 2023-02-21 212855.png

CSRF的防御

屏幕截图 2023-02-21 213422.png CSRF-token：屏幕截图 2023-02-21 213645.png

屏幕截图 2023-02-21 213730.png CSRF-iframe攻击：

屏幕截图 2023-02-21 214200.png

屏幕截图 2023-02-21 214300.png

Samesite Cookie

屏幕截图 2023-02-21 214412.png

屏幕截图 2023-02-21 214501.png

屏幕截图 2023-02-21 214605.png

屏幕截图 2023-02-21 214659.png

injection

屏幕截图 2023-02-21 214856.png

屏幕截图 2023-02-21 214908.png

防御Dos

屏幕截图 2023-02-21 215421.png

屏幕截图 2023-02-21 215445.png

屏幕截图 2023-02-21 215515.png

屏幕截图 2023-02-21 215557.png

屏幕截图 2023-02-21 215609.png

小结

一些内容后期会补充，谢谢大家，图片全部出自字节。