参考記事:
8大型フロントエンドのセキュリティ問題(上)https://insights.thoughtworks.cn/eight-security-problems-in-front-end/
8大フロントエンドセキュリティ(下)https://insights.thoughtworks.cn/eight-security-problems-in-front-end-2/
フロントエンドのセキュリティシリーズ(A):どのようにXSS攻撃を防ぐために?https://juejin.im/post/5bad9140e51d450e935c6d64#heading-8
フロントエンドのセキュリティシリーズII:どのようにCSRF攻撃を防ぐために?https://juejin.im/post/5bc009996fb9a05d0a055192
フロントエンドのセキュリティを知っている:http://www.cnblogs.com/zhuanzhuanfe/p/7286611.html
クロスサイトスクリプティングDaquanは:http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html
まず、フロント抜け穴
1、XSS攻撃
コア:悪意のあるスクリプトインジェクション
説明:それはユーザーのブラウザ上で実行させる、先のサイト上で悪意のあるスクリプトを注入する攻撃。これらの悪質なスクリプトを使用すると、攻撃者は、このようなその他のCookie、セッションID、など、ユーザーに関する機密情報を入手し、これによりデータのセキュリティを危険にさらすことができます。
2、CSRF攻撃
コア:ユーザーIDリクエストフォージェリを使用して
説明:攻撃サイトに登録された資格情報の犠牲者を使用すると、取得されたが、ユーザー認証をバイパスする背景には、ユーザーを装ったことは、攻撃のサイト上で操作を実行するリクエストを送信します
3、HTTPハイジャック
コア:広告、ボックスのHTMLインジェクションをプレイ
説明:私たちはページを訪問したときは、ページのHTMLコード内の事業者は、対応する利益を得るために、ポップ、広告や他のHTMLコードを挿入します
4、インタフェース動作ハイジャック
コア:視覚的な詐欺
説明:ハイジャックインタフェース動作は、視覚欺瞞ハイジャック攻撃に基づいています。ユーザーが誤ってクリックすることができ、0ページ:ページ上のiframe +不透明度をカバーすることにより、
5.エラー推論の内容
コア:絵として偽装のjsファイル
説明:画像ファイルを装っJavaScriptを含む攻撃者のスクリプトファイル(接尾辞などを変更します)。文書には、サーバーのダウンに保存されたファイルタイプの検証を、エスケープ。次に、このレビューの時点で犠牲者を訪問し、ブラウザの要求は画像としてこのスクリプトを装ったとJavaScriptを実行します
6、安全でないサードパーティの依存関係
コア:サードパーティの脆弱性
説明:フレームおよびサードパーティのセキュリティ上の脆弱性に依存
7、HTTPS HTTP格下げ
コア:HTTPは最初の通信を傍受
説明:問題の性質は、ブラウザが最初の要求に送信することであるが遮断され、攻撃者が変更を加え、機会HTTPS通信は、単にブラウザとサーバに実行されません。次のように大別して、ユーザーがブラウザにURLを入力し、それがhttpsからではない傾向がある://始まりますが、ドメイン名から直接始まる入力、ブラウザがサーバにHTTP通信を送信し、しかし、攻撃者の存在に起因する、それがサーバであり、リターンの終わりではなく、その後の通信のためのクライアントとサーバを傍受HTTPSページにジャンプし、
8、ローカルに保存されたデータ漏洩
コア:機密、機密データ
説明:フロントは簡単に機密、機密情報の漏洩を保存します
9、静的リソースの整合性チェックの欠如
コア:CDNリソースハイジャック
説明:CDN静的リソースに保存され、攻撃者は、CDNをハイジャック、またはCDN資源の汚染に
10、ファイルアップロードの脆弱性
コア:ファイルタイプの制限
説明:ファイルとファイル拡張子の内容は厳密に限定されるものではなく、
11、ファイルのダウンロードの脆弱性
コア:ファイルタイプ、ディレクトリの制限
説明:機密ファイルをダウンロードし、ダウンロードディレクトリ
第二に、予防法
1、一般的な手順
2.詳細なレスポンスヘッダ
