网站地图模板.zip,千库网app官方下载,电子信息工程是互联网专业吗,制作游戏的软件有哪些1. 跨站脚本攻击#xff08;XSS#xff09;
描述#xff1a;跨站脚本#xff08;XSS#xff1a;Cross-Site Scripting#xff09;是一种安全漏洞#xff0c;允许攻击者向网站注入恶意客户端代码。该代码由受害者执行从而让攻击者绕过访问控制并冒充用户。XSS攻击可以分…1. 跨站脚本攻击XSS
描述跨站脚本XSSCross-Site Scripting是一种安全漏洞允许攻击者向网站注入恶意客户端代码。该代码由受害者执行从而让攻击者绕过访问控制并冒充用户。XSS攻击可以分为三类存储持久、反射非持久或基于DOM。 存储型XSS攻击 注入的恶意脚本永久存储在目标服务器上。当用户访问时代码被加载并执行。举例比如在留言板中添加恶意代码如果服务器没有防范将会永久保存恶意代码当有人浏览到这段留言时就会被执行。 反射型XSS攻击 当用户被诱骗点击恶意链接、提交特制表单或浏览恶意网站时服务器未经过滤会将恶意脚本反射回用户浏览器执行。举例比如某些网站的搜索功能会附带一些参数而如果服务器未经过滤直接返回恶意链接那么浏览器也会在读取参数时执行恶意代码。 基于DOM的XSS攻击 DOM型XSS攻击发生在客户端攻击者操纵页面中JavaScript的运行逻辑动态修改DOM结构。举例比如网站代码中有读取url的hash的功能而恶意URL通过设置hash部分来注入恶意代码。 防范措施 输入校验对用户输入内容进行严格校验拒绝危险字符。输出编码对动态生成的HTML内容进行转义防止插入恶意代码如特殊字符。内容安全策略CSP通过设置Content-Security-Policy响应头限制允许加载的脚本来源。避免使用innerHTML尽量使用安全的DOM操作办法如textContent或appendChild。
2. 跨站请求伪造CSRF
描述攻击者让用户的浏览器在用户不知情的境况下向网站的后端发送请求。比如利用已登录的身份发送恶意请求转账或修改密码。防范措施 CSRF Token在表单或请求中加入随机生成的Token后端验证Token的有效性。验证来源通过Referer或Origin头验证请求来源。使用SameSite Cookie将Cookie设置成SameSiteStrict或SameSitelax限制跨站发送。
3. 点击劫持
描述 攻击者利用透明的iframe覆盖真实页面引诱用户点击执行恶意操作。防范措施 X-Frame-Options通过设置响应头X-Frame-Options:DENY或SAMEORIGIN禁止页面被嵌入iframe。CSP帧祖先限制使用CSP的frame-ancestors指令限制允许嵌套页面的来源。
4. 中间人MitM
描述(Man-in-the-Middle)第三方拦截了Web服务器和客户端之间的流量并冒充Web服务器以捕获数据。流量被传递可能会进行修改。公共Wi-Fi网络是执行此类攻击的典型手段。防范措施 HTTPS启用HTTPS确保传输加密。HSTS通过HTTP响应头启用Strict-Transport-Security强制使用HTTPS。
5. 敏感信息泄漏
描述前端代码中直接暴露API密钥、用户信息等敏感数据。防范措施 环境变量保护避免将敏感信息直接写入前端代码通过后端获取。代码混淆对前端代码进行混淆处理增加破解难度。严格权限控制对API请求进行身份验证和权限校验。
6. 不安全的依赖包
描述使用了第三方库或框架存在漏洞可能被攻击者利用。防范措施 定期更新依赖修补已知漏洞。依赖检测工具使用工具检查依赖库的安全性。尽量减少依赖仅引入必要的依赖降低攻击面。
