2025前端最新面试题-安全篇

你知道哪些前端攻击?该如何预防?

XSS

  • Cross Site Script 跨站脚本攻击
  • 手段:黑客将 JS 代码 插入到网页内容中,渲染时执行 JS 代码
  • 预防:特殊字符替换(前端或者后端),如 < > 替换成 &lt &gt
  • Vue、React 默认屏蔽了 xss 攻击
  • 但是 Vue (v-html)、React (dangerouslySetInnerHTML) 会导致 xss 攻击,所以尽可能不要使用这两个

CSRF

  • Cross Site Request Forgery 跨站请求伪造
  • 手段:黑客诱导用户去访问另一个网站的接口,伪造请求
  • 预防:严格的跨域限制 + 验证码机制
  • axios 默认做了 CSRF 攻击的措施

详细过程

  • 用户登录了 A 网站,有了 cookie
  • 黑客诱导用户到 B 网站,并发起 A 网站的请求
  • A 网站的 API 发现有 cookie, 认为是用户自己操作的

SCRF 预防手段

  • 严格的跨域请求限制,如判断 referrer (请求来源)
  • 为 cookie 设置 SameSite, 禁止跨域传递 cookie
  • 关键接口使用短信验证码

点击劫持

  • Click Jacking
  • 手段:诱导界面上蒙一个透明的 iframe, 诱导用户点击
  • 预防:让 iframe 不能跨域加载 (Response headers 设置 X-Frame-Options: sameorigin)

总结:前端攻击有哪些

  • XSS
  • CSRF
  • SCRF
  • 点击劫持

关于前端、后端安全或者其他校验等,前后端都要一起做,即使做重复了,也要做

相关推荐
weixin_472339462 小时前
高效处理大体积Excel文件的Java技术方案解析
java·开发语言·excel
zwjapple3 小时前
docker-compose一键部署全栈项目。springboot后端,react前端
前端·spring boot·docker
枯萎穿心攻击3 小时前
响应式编程入门教程第二节:构建 ObservableProperty<T> — 封装 ReactiveProperty 的高级用法
开发语言·unity·c#·游戏引擎
诗句藏于尽头3 小时前
完成ssl不安全警告
网络协议·安全·ssl
Eiceblue4 小时前
【免费.NET方案】CSV到PDF与DataTable的快速转换
开发语言·pdf·c#·.net
m0_555762905 小时前
Matlab 频谱分析 (Spectral Analysis)
开发语言·matlab
像风一样自由20205 小时前
HTML与JavaScript:构建动态交互式Web页面的基石
前端·javascript·html
aiprtem6 小时前
基于Flutter的web登录设计
前端·flutter
浪裡遊6 小时前
React Hooks全面解析:从基础到高级的实用指南
开发语言·前端·javascript·react.js·node.js·ecmascript·php
why技术6 小时前
Stack Overflow,轰然倒下!
前端·人工智能·后端