前端安全

完整高频题库仓库地址:https://github.com/hzfe/aweso...

完整高频题库阅读地址:https://hzfe.github.io/awesom...

相关问题

  • 如何防范 XSS / CSRF 攻击
  • 说说 HTTPS 中间人攻击,及其如何防范

回答关键点

XSS CSRF 中间人攻击

  • XSS(跨站脚本攻击) 是指攻击者利用网站漏洞将代码注入到其他用户浏览器的攻击方式。常见类型有:
  • 反射型(非持久性)
  • 存储型(持久性)
  • DOM 型
  • CSRF(跨站请求伪造) 是指攻击者可以在用户不知情的情况下,窃用其身份在对应的网站进行操作。
  • 中间人攻击(MITM) 是指攻击者与通讯的两端分别创建独立的联系,在通讯中充当一个中间人角色对数据进行监听、拦截甚至篡改。

知识点深入

1. XSS(跨站脚本攻击)

1.1 反射型(非持久性)

原理:攻击者通过在 URL 插入恶意代码,其他用户访问该恶意链接时,服务端在 URL 取出恶意代码后拼接至 HTML 中返回给用户浏览器。

要点

  • 通过 URL 插入恶意代码。
  • 有服务端参与。
  • 需要用户访问特定链接。

例子

攻击者诱导被害者打开链接 hzfe.org?name=