著者: 禅とコンピュータープログラミングの芸術
1 はじめに
インターネット上で情報が送信される際にはさまざまな隠れた危険があるため、セキュリティはすべての Web 開発者が注意を払う必要がある重要な側面です。攻撃者はこれらの脆弱性を利用して、当社の Web サイトに損害を与え、さらにはサーバーに損害を与えます。したがって、Web 開発プロセス中は、セキュリティ問題に常に警戒し、Web サイトとアプリケーションのセキュリティを確保するために必要な措置を講じる必要があります。
この記事はフロントエンド セキュリティの観点から開始し、一般的な Web 攻撃、攻撃方法、防御方法、その他の知識を読者に理解してもらいます。この記事では、クロスサイト リクエスト フォージェリ (CSRF)、不完全な入力検証 (Input Validation)、クリックジャッキング (Clickjacking)、XSS クロスサイト スクリプティング攻撃、SQL インジェクションなど、フロントエンド セキュリティ保護の主要な原則と 6 つの要素に焦点を当てています。 、セッション セキュリティなどを管理します。著者は、実際の事例、分析ツール、技術的ソリューションを通じて、これらのセキュリティ脆弱性に対する保護メカニズムと戦略を詳細にまとめています。より体系的かつ包括的な知識を読者に提供したいと考えています。
2. 基本的な概念と用語の説明
まず、フロントエンド セキュリティの基本的な概念と用語をいくつか紹介します。
CSRF (クロスサイト リクエスト フォージェリ) クロスサイト リクエスト フォージェリ
CSRF は、よく知られた Web セキュリティの脆弱性です。この脆弱性は、信頼されたユーザーが特定の操作を実行し、Web ページを使用して悪意のあるサードパーティ Web サイトからのリクエスト リンクまたは画像を埋め込み、被害ユーザーの Cookie を使用して違法な操作を実行したときに発生します。
解決:
- リクエストのアドレスを確認する: リクエストのアドレスに基づいて、それが法的なリクエストであるかどうかを判断します。たとえば、リクエスト アドレスがこの Web サイトのドメイン名のページまたは API を指しているかどうかを確認します。
- 確認コードを追加する: フォームを送信するときに確認コードを追加します。確認コードが正しく入力された場合にのみ、フォームを送信できます。検証コード