JavaScript安全篇 #

1、什么是 XSS 攻击？如何防范 XSS 攻击？ #

XSS攻击，即跨站脚本攻击(Cross Site Scripting)，是一种代码注入攻击。攻击者通过在网页中注入恶意脚本，当其他用户浏览该网页时，恶意脚本会在用户的浏览器中执行，从而盗取用户信息、破坏网页结构、发送恶意请求等。

防范XSS攻击的方法有很多种，以下是一些常见的防范措施：

• 输入验证和过滤：对用户输入的内容进行严格的验证和过滤，确保输入的内容不包含恶意脚本。可以采用白名单验证、黑名单验证、HTML实体编码等方式。
• 输出编码：对输出到页面的内容进行编码，防止浏览器将其解析为脚本。可以使用合适的输出编码方式，如HTML实体编码、CSP（内容安全策略）等。
• 设置正确的HTTP头部：通过设置正确的HTTP头部，如Content-Security-Policy，可以有效防止XSS攻击。
• HttpOnly标记：对于cookie中的敏感信息，使用HttpOnly标记，防止通过JavaScript访问cookie中的内容。
• 隔离用户输入：将用户输入的内容与页面的内容进行隔离，比如使用双重花括号或者类似的模板引擎来输出用户输入的内容。
• 使用最新的安全框架和库：一些安全框架和库，如Django、Express.js、Angular和ASP.NET MVC等，都提供了防止XSS攻击的功能，可以有效降低和处理XSS攻击。
• 云安全SCDN：安全SCDN可以对Web攻击防护，提供智能语义解析功能，在漏洞防御的基础上，增强XSS攻击检测能力。

2、什么是 CSRF 攻击？如何防范 CSRF 攻击？ #

CSRF(Cross-Site Request Forgery)攻击，即跨站请求伪造攻击，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者诱导用户进入一个第三方网站，然后该网站向被攻击网站发送跨站请求。由于用户在被攻击网站中保存了登录状态，并且第三方网站可以冒充用户向服务器执行一些操作，因此攻击者可以利用这个登录状态，绕过后台的用户验证，冒充用户向服务器执行一些操作，如发送邮件、发消息、盗取账号、添加系统管理员、购买商品、虚拟货币转账等。

要防范CSRF攻击，可以采取以下几种措施：

• 验证HTTP Referer字段：通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。因此，服务器可以检查HTTP Referer字段，确保请求来自于受信任的源。但需要注意的是，由于HTTP Referer字段可以被伪造，因此不能完全依赖它来进行安全防护。
• 在请求地址中添加token并验证：服务器可以生成一个随机的token，将其嵌入到表单或页面中，并在处理请求时验证token的有效性。由于攻击者无法获取到正确的token，因此无法伪造合法的请求。
• 在HTTP头中自定义属性并验证：服务器可以在HTTP响应头中添加自定义属性，如X-CSRF-TOKEN等，并在处理请求时验证这些属性的值。由于这些属性是自定义的，攻击者很难伪造它们。
• 充分利用好Cookie的SameSite属性：SameSite属性用于控制Cookie在跨站请求中的发送行为。将其设置为Strict或Lax，可以防止Cookie在第三方站点被发送，从而有效降低CSRF攻击的风险。

此外，为了防范CSRF攻击，还需要注意以下几点：

• 尽量不要在网页中直接显示敏感信息，如用户的登录状态、账户余额等。
• 对于用户提交的数据，要进行严格的验证和过滤，防止攻击者利用这些数据来伪造请求。
• 在服务器端实现验证码机制，要求用户在进行敏感操作时输入验证码，增加攻击的难度。
• 定期更新和修补系统漏洞，确保系统的安全性。

3、什么是 CSP？ #

CSP（Content Security Policy）是一种 Web 安全策略，它可以帮助网站管理员减少跨站点脚本攻击（XSS）、数据注入等安全漏洞的风险。CSP 通过白名单的方式来限制页面能够加载和执行的资源，包括 JavaScript、CSS、图片、字体等，从而防止恶意代码的执行。

CSP 的主要作用有以下几个方面：

• 防止 XSS 攻击：通过限制页面中可以执行的脚本来源，防止恶意脚本代码的注入和执行。
• 防止数据注入攻击：通过限制页面中可以加载的外部资源，防止恶意资源的注入和执行。
• 提高安全性：通过 CSP 可以将安全策略集成到 HTTP 头中，从而提高 Web 应用程序的安全性。

CSP 的实现方法包括两种：

• 直接在 HTTP 头中设置 CSP 策略，如下所示：
  js

  Content-Security-Policy: default-src 'self' https://example.com; img-src *; media-src mediaserver.example.com
  

• 在网页中使用<meta>标签设置 CSP 策略，如下所示：
  html

  <meta http-equiv="Content-Security-Policy" content="default-src 'self' https://example.com; img-src *; media-src mediaserver.example.com">
  

4、什么是Samesite Cookie属性？ #

Samesite Cookie属性是一种用于增强网络安全的cookie机制，它限制了cookie的跨站点传输行为。

• 设置为Samesite=Strict时，此cookie仅在用户通过单击链接或提交表单等与当前站点完全相同的方式访问网站时才会发送到服务器。

  如果是其他来源或跳转，例如从另一个域或者来自跨站点请求，则此cookie不会被发送。这有助于防范跨站点请求伪造（CSRF）攻击和其他安全漏洞。

5、什么是点击劫持？如何防范点击劫持？ #

点击劫持是一种视觉欺骗的攻击手段，攻击者将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中，并将iframe设置为透明，在页面中透出一个按钮诱导用户点击。

我们可以在 http 相应头中设置X-FRAME-OPTIONS来防御用iframe嵌套的点击劫持攻击。通过不同的值，可以规定页面在特定的一些情况才能作为iframe来使用。

6、SQL注入攻击？ #

SQL注入攻击指的是攻击者在 HTTP 请求中注入恶意的SQL代码，服务器使用参数构建数据库SQL命令时，恶意SQL被一起构造，破坏原有SQL结构，并在数据库中执行，达到编写程序时意料之外结果的攻击行为。