Web前端學(xué)習(xí)安全風(fēng)險(xiǎn)的防范方法有哪些？

什么是前端安全？

      前端是您的 Web 應(yīng)用程序的大門(mén)，它對(duì)您的用戶或客戶開(kāi)放。把它想象成你家的前門(mén)。這是任何人過(guò)來(lái)的入口。像大多數(shù)房子一樣，你的房子有后門(mén)，但它主要由你的家人和密友使用。

      您是否僅僅因?yàn)榍伴T(mén)是正門(mén)而讓前門(mén)上鎖？當(dāng)然不是。您仍然鎖定它以確保您的安全。如果有人進(jìn)來(lái)，他們必須得到您的許可。否則，他們可能要對(duì)擅自闖入或闖入您的家負(fù)責(zé)。

      不管人們從哪里進(jìn)來(lái)，都必須有安全措施來(lái)控制一切。

前端安全風(fēng)險(xiǎn)以及如何防范？

      網(wǎng)絡(luò)犯罪分子希望您讓 Web 應(yīng)用程序的前端保持打開(kāi)狀態(tài)，因?yàn)槟�可以讓他們的工作更輕松。他們沒(méi)有打破墻壁進(jìn)入您的系統(tǒng)，而是莊嚴(yán)地走進(jìn)來(lái)，度過(guò)充實(shí)的一天，順手造成嚴(yán)重破壞。畢竟，在他們的道路上沒(méi)有阻力或障礙。

      許多人不優(yōu)先考慮前端安全，因?yàn)樗麄儾恢�道更好。但盡管聽(tīng)起來(lái)很陳詞濫調(diào)，但無(wú)知并不是借口。您缺乏知識(shí)可能會(huì)給您造成無(wú)法彌補(bǔ)的損失。

      讓我們來(lái)看看一些常見(jiàn)的前端網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及如何預(yù)防它們。

XSS 攻擊

      跨站點(diǎn)腳本 (XSS) 是一種網(wǎng)絡(luò)攻擊形式，攻擊者可借此將惡意腳本注入受信任的網(wǎng)站。然后，攻擊者繼續(xù)向您發(fā)送類(lèi)似于瀏覽器側(cè)腳本的惡意代碼。

      由于對(duì)發(fā)送腳本的網(wǎng)站建立了信任，您的瀏覽器會(huì)執(zhí)行腳本，從而危及您的系統(tǒng)。

      發(fā)送的惡意腳本被配置為訪問(wèn)您的敏感數(shù)據(jù)、會(huì)話令牌、Cookie、瀏覽器歷史記錄等。

      清理 Web 應(yīng)用程序的所有輸入是防止跨站點(diǎn)腳本攻擊的好方法。無(wú)論是哪個(gè)網(wǎng)站，都應(yīng)讓您的瀏覽器在處理所有輸入之前對(duì)其進(jìn)行審查。

      您可以堅(jiān)持所有數(shù)字都必須用數(shù)字拼寫(xiě)，而不添加字母。同樣，所有名稱(chēng)都應(yīng)按字母順序排列，不添加特殊字符。

DDoS 攻擊

      分布式拒絕服務(wù) (DDoS) 攻擊是使流量過(guò)多的網(wǎng)站不堪重負(fù)直至崩潰的過(guò)程。由于 DDoS 攻擊的數(shù)量很大，攻擊者會(huì)操縱成百上千個(gè)系統(tǒng)來(lái)生成針對(duì)您的 Web 應(yīng)用程序的高流量以使其耗盡。

      配置防火墻和路由器以拒絕過(guò)高和可疑的流量對(duì)于防止 DDoS 攻擊非常有效。確保您的防火墻和路由器定期更新以擁有最新的安全防御。

跨站請(qǐng)求偽造

      跨站點(diǎn)請(qǐng)求偽造 (CSRF) 涉及攻擊者誘使您在已使用您的登錄憑據(jù)進(jìn)行身份驗(yàn)證的網(wǎng)站上采取有害操作。這種攻擊主要通過(guò)下載表單執(zhí)行。

      總是在您經(jīng)常訪問(wèn)的網(wǎng)站中輸入您的登錄憑據(jù)可能會(huì)很累。您可以選擇通過(guò)在網(wǎng)站上保存您的登錄信息來(lái)使其更容易。雖然這是一種常見(jiàn)的做法，但它可能是一個(gè)問(wèn)題。

      攻擊者可能會(huì)從您保存憑據(jù)的網(wǎng)站向您發(fā)送下載鏈接。如果您下載該文件，則會(huì)在不知不覺(jué)中執(zhí)行惡意交易。

      實(shí)時(shí)令牌值可以幫助您防止 CSRF 攻擊。您的系統(tǒng)在 Web 應(yīng)用程序的每個(gè)頁(yè)面上生成令牌值，并在提交表單時(shí)使用 HTTP 標(biāo)頭將其傳輸?shù)奖韱巍?/span>

      如果令牌丟失或與您的 Web 應(yīng)用程序生成的令牌不相關(guān)，則不會(huì)執(zhí)行下載操作，并且攻擊者的意圖將不會(huì)成功。

CSS 注入攻擊

      CSS 注入是一種攻擊類(lèi)型，將任意 CSS 代碼添加到受信任的網(wǎng)站，然后您的瀏覽器呈現(xiàn)受感染的文件。

      在 CSS 上下文中注入代碼后，攻擊者可以使用 CSS 選擇器未經(jīng)授權(quán)訪問(wèn)您的敏感信息。

      在您的服務(wù)器上自托管您的 CSS 文件可防止您成為與 CSS 注入相關(guān)的攻擊的受害者。為了有效地做到這一點(diǎn)，您需要實(shí)施漏洞管理工具來(lái)檢測(cè)系統(tǒng)中可能存在的任何漏洞。

使用第三方庫(kù)

      實(shí)施第三方庫(kù)以增強(qiáng)系統(tǒng)性能是必要的。第三方軟件越多，您可以在 Web 應(yīng)用程序上執(zhí)行的功能就越多，因?yàn)槊總�(gè)功能都有其獨(dú)特的用途。但有時(shí)，這些庫(kù)可能存在漏洞，使您的系統(tǒng)面臨網(wǎng)絡(luò)攻擊。

      例如，如果您提供的服務(wù)要求您的客戶進(jìn)行在線支付。您可以選擇實(shí)施第三方計(jì)費(fèi)軟件來(lái)完成工作，而不是創(chuàng)建自己的計(jì)費(fèi)軟件。如果計(jì)費(fèi)系統(tǒng)沒(méi)有得到很好的保護(hù)并遭受安全漏洞，您客戶的付款信息將被暴露，他們的錢(qián)可能會(huì)被盜。

      防止第三方庫(kù)攻擊的一種可靠方法是掃描您使用的所有第三方庫(kù)。手動(dòng)執(zhí)行此操作可能既復(fù)雜又耗時(shí)，尤其是在處理大型 Web 應(yīng)用程序時(shí)。但是您可以通過(guò)使用漏洞掃描程序來(lái)檢測(cè)現(xiàn)有威脅來(lái)自動(dòng)化該過(guò)程。

功能請(qǐng)求或訪問(wèn)

      大多數(shù) Web 應(yīng)用程序都配置為從用戶的設(shè)備請(qǐng)求或訪問(wèn)功能。這是改善 Web 應(yīng)用程序用戶體驗(yàn)的有效功能，尤其是在開(kāi)發(fā)階段。

      但是，如果網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)您的網(wǎng)絡(luò)啟用了該功能，他們可以通過(guò)要求您的最終用戶的設(shè)備授予表面上看似合法的惡意請(qǐng)求來(lái)利用它，因?yàn)樗鼈儊?lái)自您的終端。

      設(shè)置 Feature-Policy HTTP 標(biāo)頭會(huì)阻止未經(jīng)授權(quán)的策略請(qǐng)求通過(guò)，如果它們不是由您發(fā)起的。即使攻擊者操縱您的系統(tǒng)通過(guò)您的 Web 應(yīng)用程序發(fā)送請(qǐng)求，最終用戶的設(shè)備也不會(huì)確認(rèn)它們。

為什么您的前端安全很重要？

      在網(wǎng)絡(luò)安全中沒(méi)有過(guò)于小心的事情。如果有的話，您越小心，您的網(wǎng)絡(luò)就越安全。

      注：尊重原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明出處和鏈接 http://elsolbar.com/news-id-18167.html 違者必究！部分文章來(lái)源于網(wǎng)絡(luò)由培訓(xùn)無(wú)憂網(wǎng)編輯部人員整理發(fā)布,內(nèi)容真實(shí)性請(qǐng)自行核實(shí)或聯(lián)系我們，了解更多相關(guān)資訊請(qǐng)關(guān)注web前端頻道查看更多，了解相關(guān)專(zhuān)業(yè)課程信息您可在線咨詢(xún)也可免費(fèi)申請(qǐng)?jiān)囌n。關(guān)注官方微信了解更多：150 3333 6050