2025前端最新面试题-安全篇

你知道哪些前端攻击?该如何预防?

XSS

  • Cross Site Script 跨站脚本攻击
  • 手段:黑客将 JS 代码 插入到网页内容中,渲染时执行 JS 代码
  • 预防:特殊字符替换(前端或者后端),如 < > 替换成 &lt &gt
  • Vue、React 默认屏蔽了 xss 攻击
  • 但是 Vue (v-html)、React (dangerouslySetInnerHTML) 会导致 xss 攻击,所以尽可能不要使用这两个

CSRF

  • Cross Site Request Forgery 跨站请求伪造
  • 手段:黑客诱导用户去访问另一个网站的接口,伪造请求
  • 预防:严格的跨域限制 + 验证码机制
  • axios 默认做了 CSRF 攻击的措施

详细过程

  • 用户登录了 A 网站,有了 cookie
  • 黑客诱导用户到 B 网站,并发起 A 网站的请求
  • A 网站的 API 发现有 cookie, 认为是用户自己操作的

SCRF 预防手段

  • 严格的跨域请求限制,如判断 referrer (请求来源)
  • 为 cookie 设置 SameSite, 禁止跨域传递 cookie
  • 关键接口使用短信验证码

点击劫持

  • Click Jacking
  • 手段:诱导界面上蒙一个透明的 iframe, 诱导用户点击
  • 预防:让 iframe 不能跨域加载 (Response headers 设置 X-Frame-Options: sameorigin)

总结:前端攻击有哪些

  • XSS
  • CSRF
  • SCRF
  • 点击劫持

关于前端、后端安全或者其他校验等,前后端都要一起做,即使做重复了,也要做

相关推荐
Hilaku11 分钟前
深入background-image:你可能不知道的几个性能优化与高级技巧
前端·css
南岸月明13 分钟前
副业自媒体1年终于明白:为什么会表达的人,能量越来越强,更能赚到钱?
前端
天天摸鱼的java工程师14 分钟前
🔧 MySQL 索引的设计原则有哪些?【原理 + 业务场景实战】
java·后端·面试
Danny_FD27 分钟前
Vue + Element UI 实现模糊搜索自动补全
前端·javascript
gnip32 分钟前
闭包实现一个简单Vue3的状态管理
前端·javascript
斐济岛上有一只斐济37 分钟前
后端程序员的CSS复习
前端
Enddme40 分钟前
《面试必问!JavaScript 中this 全方位避坑指南 (含高频题解析)》
前端·javascript·面试
有梦想的程序员42 分钟前
微信小程序使用 Tailwind CSS version 3
前端
pingao1413781 小时前
雨雪雾冰全预警:交通气象站为出行安全筑起“隐形防护网”
安全
程序员编程指南1 小时前
Qt 与 WebService 交互开发
c语言·开发语言·c++·qt·交互