网络安全--前端部分

最近“网络安全”这个词被多次挑动。不管你知不知道，以下这几件事儿还是发生了。

• 滴滴打车某人打车页面跳转到了黄色网站

网络发展日臻鼎盛，现在说 Internet 是第四次工业革命。网络安全问题也由此产生。

开发者不可能确保自己的应用绝对无法被攻击，但是只要攻击我们的时候，黑客花费的成本远比他可以获取的利益大得多，黑客就不会去攻击。

一、前端攻击都有哪些形式

XSS攻击

脚本注入攻击，主要来源于可以执行JavaScript代码的用户输入。

• 输入框嵌入 <script> 脚本
• URL 嵌入 <script> 脚本
• img 嵌入 <script> 脚本
• $.append方法嵌入 <script> 脚本

会导致用户cookie信息泄露
主要防范方式为

• 输入内容转义
• 设置httpOnly 使得 cookie只有http能够访问

XSRF/CSRF 攻击

跨站脚本攻击，网站中的一些提交行为，被黑客利用，你在访问黑客的网站的时候，进行的操作，会被操作到其他网站上
主要来源于

• 携带业务特性参数的GET 请求
• 被隐藏和伪造的POST 请求

导致用户不知情的情况下对其他网站接口进行了提交。
主要防范方式为

• 使用验证码
• 使用唯一的session作为接口校验规则

网络劫持

网站的访问并非进入目标服务器，而是中间被转移到其他网站了。
使用https 加密数据
使用非对称加密方式RSA进行数据加密

钓鱼网站

通过引诱文字（抽奖、美女、热点）将用户引导到伪造的网页，这个网页会高仿高知名度的网站，用户在没有区分能力，尤其是移动端时，会不小心点入，并输入用户名密码进行登录，此时便将用户名发到了黑客的服务器。

良心的黑客会让你登录两遍以后给你链接到源页面的登录错误网页。

我该如何防范？

1. 提防用户自己生产内容，对表单进行验证
2. 对服务器传入的内容进行转义输出，大部分框架已经集成了这个功能
3. 重要的用户数据要进行加密，使用HTTPS传送或者使用RSA加密
4. 规范使用POST/GET请求，原则上，有用户数据的部分统一使用POST
5. 时刻提醒自己的网络不安全