博客站

前端攻击手段多种多样，每一种都可能对用户的隐私和安全构成威胁。以下是一些常见的前端攻击手段及其预防措施：

一、跨站脚本攻击（XSS）

• 攻击手段：

  • 反射型XSS：攻击者将恶意脚本注入到用户提交的数据中，例如评论表单、搜索表单等。当用户提交数据时，恶意脚本会被原样反射回用户浏览器，并被执行。
  • 存储型XSS：攻击者将恶意脚本存储在服务器端，例如将恶意脚本注入到数据库中，所有访问该页面的用户都面临信息泄漏的可能。
  • DOM型XSS：攻击者利用浏览器DOM的漏洞来执行恶意脚本。

• 预防措施：

  • 对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。
  • 实现Session标记（session tokens）、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。
  • 确认接收的内容被妥善的规范化，仅包含最小的、安全的Tag（没有javascript），去掉任何对远程内容的引用（尤其是样式表和javascript），使用HTTP only的cookie。
  • 将cookie设置为HttpOnly属性，该属性设置后，只能在http请求中传递，在脚本中，document.cookie无法获取到该cookie值，对XSS攻击有防御作用。
  • 在cookie中添加校验信息，这个校验信息和当前用户外置环境有些关系，比如ip、user agent等有关。这样当cookie被人劫持冒用时，在服务器端校验的时候，发现校验值发生了变化，因此会要求用户重新登录，可以规避cookie劫持。
  • 定期更换cookie中的session id，让session id按一定频率变换，同时对用户而言，该操作是透明的，这样保证了服务体验的一致性。

二、跨站请求伪造（CSRF）

• 攻击手段：

  • 攻击者诱骗用户在其已登录的应用程序中执行非预期的操作，例如转账、修改个人信息等。CSRF攻击通常利用用户的信任来实施，因为用户在自己的浏览器中看到的是来自可信网站的请求，而没有意识到该请求实际上是被攻击者伪造的。

• 预防措施：

  • 在表单中添加CSRF令牌：在表单中添加一个随机生成的CSRF令牌，并将其作为隐藏域提交给服务器。服务器端在验证用户请求时，会检查CSRF令牌的有效性。
  • 使用HTTP Referer头：使用HTTP Referer头来检查请求来源，防止跨域请求。
  • 为Cookie设置SameSite属性：将Cookie的SameSite属性设置为Strict，可以防止CSRF攻击。但请注意，该属性目前并不是所有浏览器都兼容。
  • 使用POST请求：避免使用GET请求，降低攻击风险。POST请求攻击方需要构造一个form表单才可以发起请求，比GET请求（如img的src，a标签的href等）的攻击方式复杂，相对来说能降低风险，但不能阻止。
  • 在请求头中加入token验证字段：浏览器并不会自动携带Token去请求，且Token可以携带一段加密的jwt用作身份认证，这样进行CSRF的时候仅传递了cookie，并不能表明用户身份，网站即拒绝攻击请求。

三、点击劫持（Clickjacking）

• 攻击手段：

  • 攻击者在可信赖的页面上使用透明或半透明的覆盖层来欺骗用户点击他们所看到的以外的内容，例如按钮或链接。当用户点击覆盖层时，实际上点击的是攻击者精心设计的恶意内容，例如钓鱼网站或下载恶意软件的链接。

• 预防措施：

  • 使用X-Frame-Options头：在服务器端设置X-Frame-Options头，禁止其他网站嵌入本网站的页面。
  • 使用Content Security Policy（CSP）：CSP是一种通过配置浏览器安全机制来限制网页中可执行内容的安全技术。
  • 避免使用透明层：尽量避免在页面中使用透明层，如果必须使用，则需要仔细测试并确保透明层不会被攻击者利用。

四、内容交付网络（CDN）劫持

• 攻击手段：

  • 攻击者劫持CDN节点，修改CDN上的库文件，在其中注入恶意代码，进而使应用程序的用户下载到这些恶意代码。CDN劫持攻击通常利用CDN节点的安全漏洞或配置错误来实施。

• 预防措施：

  • 使用HTTPS加密：在CDN节点和用户浏览器之间使用HTTPS加密，可以防止攻击者窃取或篡改传输数据。
  • 使用内容完整性验证（CV）：使用CV技术来确保CDN内容的完整性，防止恶意代码被注入。
  • 定期监控CDN节点：定期监控CDN节点的安全状况，及时发现并修复安全漏洞。
  • 选择可靠的CDN服务商：选择可靠的CDN服务商，可以降低被攻击的风险。

五、HTTPS降级

• 攻击手段：

  • 攻击者诱使用户使用不安全的HTTP连接访问应用程序，从而窃取用户敏感信息。HTTPS是一种安全协议，可以对传输数据进行加密，防止攻击者窃取或篡改。然而，一些旧的浏览器或设备可能不支持HTTPS，或者用户可能被攻击者诱骗使用不安全的HTTP连接。

• 预防措施：

  • 强制使用HTTPS：在服务器端强制使用HTTPS连接，并禁止HTTP连接。
  • 使用HSTS头：在服务器端设置HSTS头，告诉浏览器始终使用HTTPS连接访问该网站。

六、中间人攻击（MITM）

• 攻击手段：

  • 攻击者在用户和服务器之间进行拦截，窃取或篡改通信内容。中间人攻击通常利用不安全的网络连接或Wi-Fi热点来实施。

• 预防措施：

  • 使用HTTPS加密通信内容，确保数据的机密性和完整性。
  • 避免在公共Wi-Fi等不安全网络上进行敏感操作。

七、钓鱼攻击（重定向攻击）

• 攻击手段：

  • 攻击者会发送给受害者一个合法链接，当链接被点击时，用户被导向一个似是而非的非法网站，从而达到骗取用户信任、窃取用户资料的目的。

• 预防措施：

  • 对所有的重定向操作进行审核，以避免重定向到一个危险的地方。
  • 常见解决方案是白名单，将合法的要重定向的url加到白名单中，非白名单上的域名重定向时拒之。
  • 使用重定向token，在合法的url上加上token，重定向时进行验证。

八、文件上传攻击

• 攻击手段：

  • 用户上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。

• 预防措施：

  • 对上传的文件类型进行白名单校验，只允许上传可靠类型。
  • 上传的文件需要进行重新命名，使攻击者无法猜想上传文件的访问路径，将极大地增加攻击成本。
  • 限制上传文件的大小。
  • 单独设置文件服务器的域名。

综上所述，前端攻击手段多种多样，但只要我们采取适当的预防措施，就可以大大降低被攻击的风险。这些预防措施包括加强输入验证、使用安全的cookie设置、添加CSRF令牌、使用HTTPS加密等。同时，用户也应提高安全意识，避免点击不明链接或下载不明文件。