攻击
XSS:Cross-Site Scripting
- 盲目新人用户的提交内容
- 将String转化为DOM
- 窃取Cookie、token
- 绘制UI,诱骗用户填写
- Stored XSS
- Reflected XSS
- Mutation-based XSS
- CSRF 跨站轨道请求
SQL Injection
- CLI
- OS
- SSRF 服务端伪造请求
- 正则表达式
DoS:Denial of Service
通过构造特定请求,导致服务区资源被消耗,来不及相应更多请求,导致请求挤压,进而雪崩效应。
防御
- 前端:XSS默认防御;google-closure-library
- 服务端:DOMPurify
- 注意:
- String->DOM
- 上传SVG
- Blob动态生成script
Same-origin Policy 同源政策
- 协议;域名;端口号
Content Security Policy
- 内容安全策略
- 开发者定义安全的域名
SameSite
Injection beyond SQL
- 最小权限 sudo root
- 建立允许名单+过滤 rm
- 对url参数进行限制
HTTPS
- 传输内容:加密信息+加密信息_hash
- if(hash(加密信息) === 加密信息(hash))
拓展
- left-pad 事件
- eslint-scope 事件
- event-stream 事件
