安全类

2333

前端安全相关知识

CSRF

跨站请求伪造,英文名 Cross-site request forgery。

攻击原理:
1)、用户必须登录
2)、某个接口存在漏洞
攻击原理

服务措施:
1)、Token验证
2)、Referer验证
3)、隐藏令牌

XSS

跨站脚本攻击

相关课程地址:http://www.imooc.com/learn/812

target="_blank" 导致的钓鱼攻击

攻击原理:
当用户点击了某个网站中带有target="_blank"属性的超链接后,浏览器会单独新建一个标签页来显示该链接所指向的内容。但是请注意,在这一瞬间,浏览器会允许新建的标签页通过一个名为"window.opener"的浏览器API来与之前的网页进行短暂通信。
服务措施:
给a标签添加 rel="noopener noreferrer"属性