10、安全

问题：常见的web前端攻击方式有哪些

• XSS跨站请求攻击
• XSRF跨站请求伪造

XSS跨站请求攻击

• 博客前端界面嵌入script脚本
• 脚本内容：获取cookie发送到服务器（服务器配合跨域）
• 发布博客，有人查看，可以轻松获取查看人的cookie信息

XSS预防

• 替换特殊字符。例如：<变成&It；>变成&gt，那么script就不会作为脚本执行
• 可以使用https://www.npmjs.com/package/xss的xss工具

XSRF跨站请求伪造（类似于钓鱼链接）

• 比如：攻击者想要购买一件商品，知道了购买的请求url等
• 然后用发邮件形式，发送一个图片隐藏的链接<img src='xxx.com/pay?id=100'/>。图片可以跨域。
• 如果收到的人已经登陆过这个购物网站，收到的人点击打开链接，此时就会将用户信息带过去，就会发送用点击链接的那个人的用户信息去购买

XSRF预防

• 使用POST接口，因为使用POST接口跨域是需要serve端进行支持的
• 增加验证，比如：密码验证码、指纹等