代码编织梦想

我国网络技术水平的提升,带动着WEB前端业务量的显著增长,人们对于网络服务的需求也日益复杂,与此同时,越来越多的黑客出现,其攻击水平也有了明显提升,WEB前端也成为了众多黑客进行网络攻击的主要目标。

因此,开发者在进行网站建设,运营者在进行网站维护的过程中,不但要确保服务器的安全性,也应加强对WEB前端安全性的保护。

Gartner对安全架构的定义是:安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态。

因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。

前端安全问题

近年来有8大问题尤其引起关注:

  • 跨站脚本攻击(Cross-SiteScripting)
  • 使用iframe的风险
  • 点击劫持
  • 错误的内容推断
  • 不安全的第三方依赖包
  • HTTPS中间人攻击
  • 本地存储数据泄露
  • CDN劫持/污染

如此多的、影响重大的前端安全问题,直接把软件安全防范推上了风口浪尖,安全人员面临着挑战也倍数级增长。

Web前端安全问题产生原因

现实原因

随着网络的普及和Web应用的丰富,在互联网上人们可以开展各类活动,如购物、游戏、网上银行、社交平台等,这些服务网站上有大量用户资金相关的隐私信息如银行账户、密码、个人身份信息、电话号码等。

这些信息可以直接或间接被不法分子窃取和利用,从而对最终用户造成损失。

巨大的利益诱惑是产生Web安全问题的动机。

技术原因

在技术层面,Web服务是建立在HTTP协议上的,HTTP又是建立在TCP/IP之上,在TCP/IP设计之初是没有考虑安全问题的,所有的安全问题需要Web服务提供者自己考虑,这使得在网络上传输的数据是没有任何安全保护

攻击者可以利用系统漏洞造成进程缓冲区溢出,或者利用系统漏洞来进行用户提权运行任意程序,甚至安装和运行恶意木马程序,窃取用户机密数据。在Web应用开发时由于大部分开发者把精力放到业务逻辑实现而非Web安全性上,导致Web程序本身存在很多漏洞,如缓冲区溢出、SQL注入等。

开发人员的乐观

大部分的开发人员是乐观的,认为自己开发的Web网站很安全,如网站已经通过成熟的Web开发框架或采用了一些安全传输技术如SSL或做了完善的数据备份,所以没有什么安全风险,产生这种原因的根源是大部分开发人员对Web安全问题认识不足或不全,片面乐观导致。

端侧安全的主流解决方案

1、 APP 运行时保护

对移动端应用的逆向分析还有动态调试。通过动态调试还可以伪造或篡改请求 / 响应包,从而攻击服务器端。

此种攻击可以采用市场上的一些加固工具软件对APP 进行加固保护,防止恶意破解、反编译、二次打包等。

2、APP 代码保护

由于开源技术的进步,攻击者很容易就可以获得应用的反编译代码(基本是应用源代码)。

针对此攻击,提高逆向分析的门槛,可以进行代码混淆、dex 加壳、so 加壳等方式对代码进行保护。

3、App第三方代码安全

移动应用开发过程中,出于功能需求等原因,开发人员不可避免会集成一些其他第三方提供的代码,如 SDK。

这些第三方代码未经测试和评估就直接嵌入到应用中直接使用,容易出现不可预料的后果。

一方面是第三方代码的安全性未经测试,可能存在安全漏洞被攻击者利用,从而威胁整个应用的正常使用。
另一方面,第三方代码额外实现了冗余功能或者申请多余的特权,可能造成用户隐私信息泄露,或者一系列恶意行为。

对于此类威胁,安全设计方案是:

1)App中大部分是web或者小程序类轻应用,可以采用市面上的安全沙箱类技术(如:FinClip),对应用进行统一的上下架管理。其特点主要体现在三个方面:

沙箱内小程序之间的隔离
沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。
沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。

2)集成第三方代码时,开发人员应尽可能了解第三方代码的功能,以及尽可能保证第三方代码的安全性。

4、APP 端业务安全

为了防止 APP 用户恶意注册及薅羊毛等恶意行为,可以在 APP 中加入设备指纹,进行数据埋点等,将 APP 数据接入业务风控平台,进行业务反欺诈。

5、Web 安全

对于 Web 安全,关注常见的 OWASP TOP 10 漏洞,如注入、身份认证、敏感信息泄露、安全配置错误等。常见的防御措施有认证、授权、加密、审计、输入验证等。

6、Restful API 安全

Restful API 以 URI 方式对外提供数据服务或功能服务。外部用户多数情况下是程序或系统。

提供的数据服务或功能服务多数情况下,是非公开的,即需要对 HTTP 请求来源和身份做识别与认证,再经过授权决策(访问控制)后,提供相应的数据或执行功能。

结语

介绍了Web前端安全问题产生原因,然后给出了对应的解决策略,从而降低和避免网站被攻击的可能性,另外可以看到Web安全是一个很大的课题,Web前端安全仅是其中的一个最前端和常见的领域,也可以看到要开发一个安全性非常高的Web安全网站是多么困难,

但随着技术的发展,特别是量子计算机通信的出现,未来必然会出现超越现在已知的安全技术。

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72622669/article/details/127913740

web前端面试题(全)_前端老李头的博客-爱代码爱编程_web前端面试题

近来看到网上格式各样的web前端求职的面试题,接下来我用我的经验总结了一套在面试过程中高频率问到的面试题,希望能帮助各位求职者在求职的过程中顺利通过,废话不多说,直接说题。。。 一、HTML5部分 1.说一下对css盒模

XSS安全漏洞?使用过滤器解决前端JS注入问题。-爱代码爱编程

使用过滤器解决前端XSS安全问题,JS注入问题 使用过滤器解决前端 XSS 安全问题问题背景解决思路过滤器 使用过滤器解决前端 XSS 安全问题 问题背景 在Java web 项目中,对于前端 JS 注入问题,可以在前端写 JS 代码进行预处理,但是这样处理无法保证万无一失,当用户篡改前端校验的 JS 代码,导致校验失效,如果服务端未经过任

2021年最新Web前端面试题精选大全及答案-爱代码爱编程

目录 HTML、CSS相关 Javascript相关 三者的异同 Vue相关 55.Vue路由懒加载(按需加载路由) React相关 react 生命周期函数 ******为什么虚拟 dom 会提高性能?(必考) (组件的)状态(state)和属性(props)之间有何不同 shouldComponentUpdate 是做什么的 re

前端的安全性问题-爱代码爱编程

本文将讲述前端的六大安全问题,是平常比较常见的安全问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 通过在你的输入文本当中或者这HTML标签当中插入js脚本进行攻击,在每次打开网页的时候就会执行该脚本。 🌰: 用户提交的数据未经处理,直接住注入到动态页面中 留言板内容的提交 利用xss窃取用户名密码 解决办法: XSS攻

【web安全】常见web安全问题及解决思路-爱代码爱编程

前言    web安全是我们面试中经常遇到的问题,而在实际项目开发中,尤其一些大型项目,web安全显得尤为重要。那么本文阿彬就给大家大概总结一下常见的一些web安全问题以及防御手段。 1.xss XSS(Cross Site Scripting)跨站脚本攻击,因为缩写和css重叠,所以改叫XSS,跨脚本攻击是指通过存在安全漏洞的web网站注册用

web前端跨域问题解决-爱代码爱编程

1、什么是跨域         对同域(同源)概念的理解:域名相同,端口相同,协议相同。         对同源策略概念的理解:所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host),端口号(port)。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策

2020年Web 前端怎样入门?最新Web前端入门的学习路线-爱代码爱编程

   2022年最新Web前端入门的自学路线 > 新手入门前端,需要学习的基础内容有很多,如下。 一、HTML、CSS基础、JavaScript语法基础。学完基础后,可以仿照电商网站(例如京东、小米)做首页的布局。 二、JavaScript语法进阶。包括:作用域和闭包、this和对象原型等。相信我,JS语法,永远是面试中最重要的部分。

前端常见安全问题-爱代码爱编程

目录 以下是对一些常见的前端安全问题的总结一、iframe1、防止自己的网站不被其他网站的 iframe 引用2、禁用被使用的 iframe 对当前网站某些操作二、opener1、target="_blank"2、window.open()三、CSRF / XSRF(跨站请求伪造)防御措施四、XSS/CSS(跨站脚本攻击)XSS类型:防御措施(对用

前端安全面试题-爱代码爱编程

什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可以获取用户的敏感信息,如Cookie,SessionID等,进而危害数据安全。为了和CSS区分,这里把代码的第一个字母改为X,于是叫做XSS XSS的本质 恶意代

前端常见安全性问题-爱代码爱编程

文章目录 一、常见的安全性问题二、XXS攻击(Cross Site Scripting)(跨站脚本攻击)三、CSRF安全漏洞(跨站请求伪造)四、文件上传漏洞五、限制URL访问,越权访问六、不安全的加密存储七、SQL注入攻击八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CS

【网络安全】---web网络安全总结_巧克力棒~的博客-爱代码爱编程

我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数CSRF 跨站请求伪造a