前端常见的安全及防御措施

一、跨站脚本攻击（XSS）

攻击者通过在网页中注入恶意脚本，可以窃取用户的敏感信息，如登录凭证、Cookie等，或者进行恶意操作，如篡改页面内容、重定向用户到恶意网站等。

攻击方式

1、存储型 XSS：攻击者将恶意脚本存储到服务器上，当用户访问包含该脚本的页面时，恶意脚本被执行。

2、反射型 XSS：攻击者将恶意脚本作为参数附加到 URL 中，当用户点击包含恶意脚本的链接时，脚本被执行。

3、DOM 型 XSS：攻击者通过修改 DOM（文档对象模型）来执行恶意脚本。

防范措施

1、输入验证和输出编码：对用户输入进行验证，确保输入的数据符合预期。在输出数据到页面时，使用合适的编码方式，如将 < 转换为 &lt; 等。

2、使用 CSP（内容安全策略）：CSP 可以指定页面允许加载的资源来源，限制脚本的执行，从而减少 XSS 攻击的可能性。

3、HttpOnly 和 Secure Cookie：使用 HttpOnly 和 Secure 标志来设置 Cookie，限制客户端脚本访问 Cookie，增加安全性。

二、 跨站请求伪造（CSRF）

攻击者可以利用用户已登录的身份，发送伪造的请求来执行恶意操作，导致用户执行不经意间的操作，如修改账户信息、发起转账等。

防范措施

1、CSRF Token：使用 CSRF Token 来验证请求的合法性，确保请求是来自本站的合法请求。

2、同源策略：遵循同源策略，确保不同域名的页面不能相互访问，从而阻止 CSRF 攻击。

三、 点击劫持 

 攻击者将目标网页放置在透明的 iframe 中，并在上面覆盖一个伪装成目标网页的恶意页面。用户在点击看似无害的内容时，实际上点击了恶意页面上的按钮。

防范措施

1、X-Frame-Options 头：通过设置 X-Frame-Options 头，可以防止网页被嵌入到 iframe 中。

2、JavaScript 防御：使用 JavaScript 来防止网页被嵌套到 iframe 中，比如判断是否处于顶层窗口。

四、 输入验证和数据加密

在前端应用中，对用户输入进行验证是非常重要的，同时在传输敏感数据时，也要进行加密。

防范措施

1、输入验证：对用户输入进行验证，确保输入的数据是合法的，防止注入攻击等。

2、数据加密：使用 HTTPS 来加密传输的数据，确保数据在传输过程中不被窃取或篡改。