当前位置:首页 > 开发 > Web前端 > JavaScript > 正文

AngularJS中安全性措施

发表于: 2014-09-02   作者:bijian1013   来源:转载   浏览:
摘要:         在使用web应用中,安全性是应该首要考虑的一个问题。AngularJS提供了一些辅助机制,用来防护来自两个常见攻击方向的网络攻击。 一.JSON漏洞         当使用一个GET请求获取JSON数组信息的时候(尤其是当这一信息非常敏感,

        在使用web应用中,安全性是应该首要考虑的一个问题。AngularJS提供了一些辅助机制,用来防护来自两个常见攻击方向的网络攻击。

一.JSON漏洞

        当使用一个GET请求获取JSON数组信息的时候(尤其是当这一信息非常敏感,并且需要登录或者授权才能访问时),存在一个很微妙的漏洞。

        这个漏洞的形式为:恶意站点使用<SCRIPT>标签提交一个请求来获取同样的数组信息,由于你仍然处于登录状态,所以恶意站点就可以利用你的登录凭证来请求JSON信息,进而获取它。

        你可能想知道这是怎么做到的,因为数组信息依然存在于你的客户端中,而服务器无法获得这一信息的引用。通常来说,通过获取script资源来返回JSON对象的方式会导致一个错误,但是数组是个例外。

        下面就是漏洞所利用的弱点:在JavaScript中,可以重写或者重新声明内置的对象。在这个漏洞中,数组的构造器被重新声明了,在新的声明中,恶意站点可以获得数据的引用,然后发送到它自已的服务器上。这一漏洞被称为“JSON数组攻击”,具体的成因有些复杂,不过此漏洞只会在特定浏览器的特定版本中存在,因此通常情况下可以忽略。

        有两种方法可以避免这个漏洞:对于敏感信息,请确保每次都是在POST请求中返回JSON格式的响应,并且返回一个对象;或者使用非法的JSON表达式作为结果,然后再用一些客户端逻辑把它转换成真实的数据。

        AngularJS允许你使用这两种方法中的任意一种来避免JSON漏洞。但是在你的应用中,建议选择用POST请求获取JSON信息的方式。

        更进一步,你可以配置一下服务器,在所有JSON响应上加一个前缀:[")]}',\n"

        这样,下面的这个普通的响应['one', 'two'],将会以以下形式返回:

)]}',
['one', 'two']

        AngularJS将会自动删掉前缀,只对后面的JSON字符串进行处理。

 

二.XSRF

        XSRF(Cross-Site Request Forget,跨站请求伪造)攻击通常具有以下特征。

1.它们涉及的站点是那些使用授权信息或者用户身份信息的站点。

2.它们利用了这样一个事实:对于存在这一漏洞的站点,用户会保持登录状态或者授权状态。

3.它们会伪造一些带有副作用的HTTP/XHR的请求(通常是有害的)。

        请考虑下面这个XSRF攻击的例子。

1.用户A登录到了他的银行账户(http://www.examplebank.com)。

2.用户B发现了这一点,然后让用户A访问自已的主页。

3.用户B的主页上有一个精心制作的图片链接,用来发起XSRF攻击:

<img src="http://www.examplebank.com/xfer?from=UserA&amount=10000&to=UserB">

        如果用户A的银行把授权信息保存在cookie中,并且没有过期,那么当用户A打开用户B的网站时,就会触发一个从用户A到用户B的汇款操作,而这一操作根本没有获得授权。

        那么AngularJS是如何帮助避免这一点的呢?它提供了一个“两步”机制来避免XSRF漏洞。

        当客户端进行XHR请求时,$http服务会从cookie里读取一个叫做XSRF-TOKEN(这是一种令牌机制,需要服务端配合)的标记,然后把它设置成一个HTTP头X-XSRF-TOKEN。因为只有来自你自已的域的请求才能读取和设置这个标志,所以可以保证这个XHR来自你自已的域。

        要运用这一机制还需要稍微改动一下你的服务端代码,让它在第一次接受HTTP GET请求时设置一个名为XSRF-TOKEN的可读session cookie。后续发送到服务端的请求可以在HTTP头中验证这个值,从而与第一次请求中的XSRF标记进行匹配。当然,对于每个用户来说这个令牌必须是唯一的,而且服务器必须验证这个值(应该避免使用JavaScript代码生成令牌)。

 

文章来源:《用AngularJS开发下一代Web应用》

AngularJS中安全性措施

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
$location服务是对所有浏览器中都存在的window.location对象的封装。那么,为什么需要使用$location
$http服务提供了一个非常低级的实现,可以用来发送XHR请求,同时它还为你提供了很大的可控性和灵活
对于菜单、上下文敏感的工具以及很多其他情况来说,显示和隐藏元素是一项核心的功能。与Angualr中其
真正的应用需要和真实的服务器进行交互,无论你是想把数据持久化到云端,还是需要与其他用户进行实
一.使用$watch监控数据模型的变化 在scope内置的所有函数中,用得最多的可能就是$watch函数了,当你
真正的应用需要和真实的服务器进行交互,无论你是想把数据持久化到云端,还是需要与其他用户进行实
$location服务是对所有浏览器中都存在的window.location对象的封装。那么,为什么需要使用$location
$http服务提供了一个非常低级的实现,可以用来发送XHR请求,同时它还为你提供了很大的可控性和灵活
一.使用$watch监控数据模型的变化 在scope内置的所有函数中,用得最多的可能就是$watch函数了,当你
一.使用$watch监控数据模型的变化 在scope内置的所有函数中,用得最多的可能就是$watch函数了,当你
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号