安全防范

xss 攻击

攻击者将一切可执行的代码注入到页面上；

• 解决方式：
  • 转义字符，推荐 js-xss库
  • 建立白名单，高速浏览器哪些外部资源可以加载执行，

CSRF (跨站请求伪造)

原理就是攻击者构造出一个后端请求地址，诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话，后端就以为是用户在操作，从而进行相应的逻辑

• 防御方式：
  • get请求不能对数据进行修改；
  • 不让第三方网站访问到用户的cookie
  • 阻止第三方网站请求接口
  • 请求的时候附带上 验证信息，如验证码或者token

点击劫持

是一种欺骗的手段，攻击者把要攻击网站的页面通过iframe加载附着在钓鱼网站的上面，诱导用户点击；

• 防御方式：
  • x-frame-options
    • 这是一个http响应头，为了防御这种iframe嵌套的劫持；
  • js 手动判断拦截

中间人攻击

客户端和服务端通讯被中间拦截，

• 防御方式：使用https, 使用非对称加密