无论你是react、angular、vue.js,还是原生JavaScript开发者,你的代码都有可能成为黑客眼中的猎物。
作为一个前端开发者,我们可能更加关注性能、seo、UI/UX,往往会忽视安全问题。
当你了解了大型框架是如何让你对xss攻击保持开放态度时,也许你会感觉到很意外。例如,React中的dangerouslySetInnerhtml或者Angular中的bypassSecurityTrust都是一些高危操作。
我们需要记住,就安全而言,前端现在和后端、DevOps一样承担着相同的职责。前端也可能遭受到成千上万的恶意攻击。
让我们来了解一下常见的攻击类型有哪些。
这种攻击方式是将恶意文件上传到服务器中并执行,从而攻击系统。攻击包括:文件系统或者数据库超载、完全接管系统、将攻击转发到后端系统或者简单的破坏。
这是一种诱导用户点击非本站网页或元素的攻击方式。这种攻击可能导致用户在不经意之间提供证书或者敏感信息,下载恶意软件,访问恶意网页,在线购买产品或者被偷偷转移资产。
译者注:简单的说就是在用户观看到的网站上覆盖一层透明的恶意网站,诱导用户点击恶意网站上的按钮来触发攻击行为
这是一种将恶意脚本JS脚本注入到网页中的攻击方式。网站上的缺陷使这些攻击得以成功并广泛传播。
这是一种通过用户输入将恶意的SQL注入到数据库中,进而破坏数据库的攻击方式。
这是一种通过流量轰炸服务器,导致正常的用户无法正常访问服务器的攻击方式。
这是一种拦截客户端和服务端之间的通信,从中窃取用户的密码、账号或者任何个人详细信息的攻击方式。
攻击者将会不遗余力的在前端寻找安全漏洞,在本文中,我们将看到一些编写前端代码时安全相关的最佳实践。
应该始终严格的对待用户输入,避免诸如SQL注入、点击劫持等等。因此,在将用户输入发送到服务端之前,校验并过滤用户输入是很重要的。
可以通过删除或替换危险的字符来过滤数据,例如,使用白名单并转义输入的数据。
但是,我意识到过滤和编码用户输入并不是一件容易的事,因此我们可以使用以下开源库:
如果是文件上传,请务必检查文件类型并且使用文件过滤功能仅允许某些文件类型上传。
如果我们利用type="hidden"来隐藏页面中敏感数据,或者把他们放到浏览器的localStorage、sessionStorage、cookies时,我们需要谨慎的考虑这些数据是否安全。
攻击者可以轻松访问添加到浏览器中的所有内容。攻击者可以打开开发工具并更改所有保存在内存中的变量。如果你根据localStorage、sessionStorage、cookies中的值隐藏了身份验证界面,该怎么办?
像ZapProxy这样的工具,可以在攻击者找到注入脚本的方法后,将这些值暴露给攻击者,然后攻击者可以使用它们进行进一步的攻击。
因此,避免使用type="hidden",避免将密钥、身份验证令牌等尽可能多的存到浏览器的内存中。
永远不要相信服务器返回的所有内容,在Http header中定义一个强大的CSP策略,仅仅允许受信任的内容在浏览器中执行。
最好有一个白名单列表,即使攻击者注入了脚本,该脚本和白名单不匹配,它也不会执行。
举个例子:
// header
content-security-policy: script-src ‘self’ https://apis.xyz.com
这里定义我们的Web应用仅仅信任https://apis.xyz.com和本身域名的脚本。对于其他域名的资源都会在控制台中报错。
注意:强大CSP策略也没办法解决内联脚本执行的问题,因此xss攻击仍然存在。
你可以在MDN网站上阅读更详细CSP说明。
译者注:不仅可以在header中设置csp规则,你也可以在meta标签中设置。
如果攻击者通过某种方式在用户输入中插入攻击代码,我们可以通过"X-XSS-Protection": "1; mode=block"来告诉浏览器阻止响应。
大多数现代浏览器默认情况下都启用了XSS保护模式,但仍建议添加X-XSS-Protection。 这有助于提高不支持CSP的旧版浏览器的安全性。
dom API innerHTML经常被用作XSS攻击的入口。例如:
document.querySelector('.tagline').innerHTML = nameFromQueryString
任何攻击者都可以使用上面的代码行注入恶意代码。
大家可以考虑使用textContent来代替innerHTML,避免直接生成HTML。如果你不生成HTML,那就不会有JavaScript插入到页面中,即使你可以在页面中看到攻击代码,但是,什么也不会发生。
密切关注Trusted Types(MDN地址),这是由google程序员开发出来的,旨在防范所有基于DOM的XSS攻击的方案。
在React.js中,dangerouslySetInnerHTML可能产生和innerHTML类似的影响。
注意:不要直接将用户输入做了innerHTML的值,尽量使用textContent。
另外,我们应该正常的设置http响应头Content-Type和X-Content-Type-Options。例如,请勿将JSON数据编码成text/HTML,以免意外执行。
禁用iframe可以帮助我们免受点击劫持攻击。我们应该在header中添加"X-Frame-Options": "DENY" ,来禁止浏览器在页面中渲染iframe。
我们也可以使用CSP指令frame-ancestors,它可以更好的控制我们的页面可以被哪些父页面通过iframe的形式来嵌套展示。
类似"您的密码有误"这样的提示对用户很友好,同时,他对攻击者也很友好。他们可以通过服务端返回的错误信息来判断他下一步需要进行什么样的攻击。
当处理用户的账号、邮件、个人信息时,我们应该尝试使用一些模棱两可的错误提示,类似“错误的登陆信息”。
在对外的公共服务(登陆、注册)上使用验证码。验证码的目的在于帮助我们区分真人和机器人,并且也可以阻止DoS攻击。
当我们使用<a>标签或者超链接引导用户离开我们的网站时,确保你在请求header里面添加了"Referrer-Policy": "no-referrer",或者在<a>标签中添加了rel="noopener" 或rel="noreferrer"属性。
当我们不设置header或者rel属性时,目标网站就可以获取到一些用户相关的数据。
译者注:rel=noopener保证跳转过去的网站无法通过window.opener窃取原来网页的信息。rel=noreferrer作用是防止将引用者信息传递到目标网站。上面提到的策略大家可以去mdn上了解一下MDN Referrer-Policy、MDN Link Type
就像CSP可以限制可信的资源域名一样,我们也可以限制浏览器提供哪些能力给我们用。我们可以利用http header中的Feature-Policy字段来限制使用浏览器提供的功能。
提示:禁用一切你不使用的功能
译者注:Feature-Policy是一个实验中的header属性,目前在chrome浏览器中的兼容性尚可,IE和Safari都不支持。具体可以在MDN Feature-Policy中了解。
经常跑一下npm audit来获取存在漏洞的npm包列表,升级他们避免一些安全问题。
GitHub现在会标记出哪些存在漏洞的依赖。我们也可以使用Snyk来自动检查你的源码,并且自动升级版本号。
与后端一样,我们也拥有微服务架构,其中,将单一的Web应用转变为多个小型前端应用的聚合,每个小型前端应用可以单独运行。
相同的原理可以应用于前端。 例如,一个Web应用可以分为公共部分,身份验证部分和后台管理部分,每个应用都托管在单独的子域中,例如https://public.example.com、https://users.example.com和https://admin.example.com。这将减少web应用中的漏洞。
注意:适当的分隔还可以防止应用程序公共部分出现XSS漏洞,从而防止它自动破坏用户信息。
一行代码就可以使用类似Google Analytics的第三方服务,同时,也可能会给你的应用带来漏洞。想一想这些第三方服务脚本被篡改的情况。
拥有一套健全的CSP策略很重要。大多数第三方服务都有定义的CSP指令,因此请务必添加它们。
同样,如果可能的话,请确保给你的script标签都加上integrity属性。子资源完整性功能(SRI)可以验证脚本的hash值,并确保其未被篡改。
<script src= "https://example.com/example-framework.js" integrity= "sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/ux..." crossorigin= "anonymous" ></script>
译者注:将使用base64编码过后的文件哈希值写入你所引用的 <script> 或 <link> 标签的 integrity 属性值中即可启用子资源完整性校验功能。
存储在浏览器的自动填充里面的用户个人数据对用户和攻击者都很方便。
攻击者添加了第三方的脚本,利用浏览器的自动填充来提取用户的邮箱地址去构建追踪标识。他们可以使用这些信息建立用户浏览历史记录配置文件,然后将其出售给坏人。
我们许多人甚至都不知道他们的浏览器自动填充功能存储了哪些信息。
提示:禁止将敏感信息自动填入表单
通过技术的角度,来探讨如何提高网页加载速度的方法和技巧,一个网站速度的访问快慢将直接影响到用户体验,对于我们开发来说是应该解决的。
XSS攻击的全称Cross Site Scripting(跨站脚本攻击),为了避免和样式表CSS混淆而简写为XSS。XSS恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
通过js或css禁止蒙层底部页面跟随滚动:pc端推荐给body添加样式overflow: hidden;height: 100%;移动端利用移动端的touch事件,来阻止默认行为,若应用场景是全平台我们要阻止页面滚动,那么何不将其固定在视窗(即position: fixed),这样它就无法滚动了,当蒙层关闭时再释放。
渐进式 Web 应用是利用现代浏览器的特性,可以添加到主屏幕上,表现得像原生应用程序一样的 Web 应用程序。
Web前端技术由 html、css 和 javascript 三大部分构成,是一个庞大而复杂的技术体系,其复杂程度不低于任何一门后端语言。而我们在学习它的时候往往是先从某一个点切入,然后不断地接触和学习新的知识点,因此对于初学者很难理清楚整个体系的脉络结构。
Web开发是比较费神的,需要掌握很多很多的东西,特别是从事前端开发的朋友,需要通十行才行。今天,本文向初学者介绍一些Web开发中的基本概念和用到的技术,从A到Z总共26项,每项对应一个概念或者技术。
Web浏览器的主要功能是展示网页资源,即请求服务器并将结果展示在窗口中。地址栏输入URL到页面显示经历的过程、浏览器的主要组件、浏览器渲染...
增强现实(以下简称 AR)浪潮正滚滚而来,Web 浏览器作为人们最唾手可得的人机交互终端,正在大力发展 AR 技术。AR 可以简单的理解为一种实时将虚拟图像叠加在现实场景中的技术
先了解一下 workbox:不管你的站点是何种方式构建的,都可以为你的站点提供离线访问能力。就算你不考虑离线能力,也能让你的站点访问速度更加快。几乎不用考虑太多的具体实现,只用做一些配置...
用户是否操作了web页面,我们可以在一定时间内根据用户是否触发了某些事件进行判断。比如用户是否点击,是否按键,是否移动了鼠标等
内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!