一、有那些可能引起前端安全的问题
-
跨站脚本(Cross-Site Scripting,XSS):一种代码注入方式,为了与CSS区分所以被称为XSS,早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面,其注入方式很简单包括但不限于Javascript / VBScript / CSS / Flash 等。
-
iframe的滥用:iframe中的内容是由第三方提供的,默认情况下它们不受我们控制,它们可以在iframe中运行Javascript脚本、Flash插件、弹出对话框等等,这可能会破坏前端用户体验。
-
跨站点请求伪造(Cross-Site Request Forgeries,CSRF):指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或者设定信息等某些状态更新,属于被动攻击。
-
恶意第三方库:无论是后端服务器还是前端应用开发,绝大多数时候我们都在借助开发框架和各种类库进行快速开发,一旦第三方库被植入恶意的代码很容易引起安全问题,比如event-stream的恶意代码事件,2018/11/21,名为FallingSnow的用户在知名JavaScript应用库event-stream在github issue中发布了针对植入恶意代码的疑问,表示event-stream中存在用于窃取用户数字钱包的恶意代码。
本文地址:https://blog.csdn.net/imagine_tion/article/details/110926453
