作為一個(gè)前端er，掌握必要的網(wǎng)絡(luò)安全知識(shí)是必要，下面我整理了幾種常見(jiàn)的網(wǎng)絡(luò)攻擊方式及防御技巧，一起來(lái)談?wù)剋eb安全性問(wèn)題及對(duì)策吧，希望對(duì)大家有所幫助。

網(wǎng)絡(luò)安全小知識(shí)：

CSRF防御可以從服務(wù)端和客戶端兩方面著手，防御效果是從服務(wù)端著手效果比較好，現(xiàn)在一般CSRF防御液都在服務(wù)端進(jìn)行的。

關(guān)鍵操作只接受POST請(qǐng)求

驗(yàn)證碼：

CSRF攻擊的過(guò)程，往往是在用戶不知情的情況下發(fā)生的，在用戶不知情的情況下構(gòu)造網(wǎng)絡(luò)請(qǐng)求，所以如果使用驗(yàn)證碼，那么每次操作都需要用戶進(jìn)行互動(dòng)，從而簡(jiǎn)單有效地防御了CSRF的攻擊。

但是如果你自啊一個(gè)網(wǎng)站作出任何舉動(dòng)都要輸入驗(yàn)證碼的話會(huì)嚴(yán)重影響用戶體驗(yàn)，所以驗(yàn)證碼一般只出現(xiàn)在特殊操作里面，或者在注冊(cè)時(shí)候使用。

檢測(cè)Referer：

常見(jiàn)的互聯(lián)網(wǎng)頁(yè)面與頁(yè)面之間是存在聯(lián)系的，比如你在 騰訊首頁(yè) 應(yīng)該找不到通往//www.facebook.com的鏈接的，比如你在某論壇留言，那么不管你留言之后重定向到哪里，之前的網(wǎng)址一定保留在新頁(yè)面中Referer屬性中。

通過(guò)檢查Referer的值，我們就可以判斷這個(gè)請(qǐng)求是合法的還是非法的，但是問(wèn)題出在服務(wù)器不是任何時(shí)候都接受到Referer的值，所以Referer Check一般用于監(jiān)控CSRF攻擊的發(fā)生，而不用來(lái)抵御攻擊。

Token：目前主流的做法是使用Token防御CSRF攻擊

CSRF攻擊要成功的條件在于攻擊者能夠準(zhǔn)確地預(yù)測(cè)所有的參數(shù)從而構(gòu)造出合法的請(qǐng)求，所以根據(jù)不可預(yù)測(cè)性原則，我們可以對(duì)參數(shù)進(jìn)行加密從而防止CSRF攻擊，可以保存其原有參數(shù)不變，另外添加一個(gè)參數(shù)Token，其值是隨機(jī)的，這樣攻擊者因?yàn)椴恢繲oken而無(wú)法構(gòu)造出合法的請(qǐng)求進(jìn)行攻擊，所以我們?cè)跇?gòu)造請(qǐng)求時(shí)候只需要保證：

Token要足夠隨機(jī)，使攻擊者無(wú)法準(zhǔn)確預(yù)測(cè)

Token是一次性的，即每次請(qǐng)求成功后要更新Token，增加預(yù)測(cè)難度

Token要主要保密性，敏感操作使用POST，防止Token出現(xiàn)在URL中

最后值得注意的是，過(guò)濾用戶輸入的內(nèi)容不能阻擋CSRF攻擊，我們需要做的事過(guò)濾請(qǐng)求的來(lái)源，因?yàn)橛行┱?qǐng)求是合法，有些是非法的，所以CSRF防御主要是過(guò)濾那些非法偽造的請(qǐng)求來(lái)源。

XSS攻擊：

XSS又稱為CSS，全程為Cross-site script，跨站腳本攻擊，為了和CSS層疊樣式表區(qū)分所以取名為XSS，是Web程序中常見(jiàn)的漏洞。

其原理是攻擊者向有XSS漏洞的網(wǎng)站中輸入惡意的HTML代碼，當(dāng)其它用戶瀏覽該網(wǎng)站時(shí)候，該段HTML代碼會(huì)自動(dòng)執(zhí)行，從而達(dá)到攻擊的目的，如盜取用戶的Cookie，破壞頁(yè)面結(jié)構(gòu)，重定向到其它網(wǎng)站等。

佰佰安全網(wǎng)提醒您：了解網(wǎng)絡(luò)安全防范措施與應(yīng)用措施是非常重要的，因?yàn)橹挥羞@樣才能保障在網(wǎng)絡(luò)中的安全，另外也可參考一些網(wǎng)絡(luò)安全常識(shí)和網(wǎng)絡(luò)安全技術(shù)來(lái)幫助自己，提高自己的能力。

責(zé)任編輯:張小付