前端安全
2019-06-19 本文已影响0人
一只重拾梦想的小水
- xss
攻击:input插入script执行js或sql
防御:encode然后验证,过滤非法数据 - csrf
攻击:用cookie伪造请求
防御:token、自定义header、参数加密hmac) - iframe嵌套
攻击:己方网站被其他网站使用iframe恶意插入(非法引用资源 / 使用蒙层伪造页面)
防御:
重写父页面location:window.top.location = location;
禁止被iframe插入:res.header: x-frame-option: deny
