你需要理解的7种常见前端攻击_Javascript

前言

大家都知道，保证网站的安全是十分重要的，一旦网站被攻陷，就有可能造成用户的经济损失，隐私泄露，网站功能被破坏，或者是传播恶意病毒等重大危害。所以下面我们就来讲讲7 种常见的前端攻击。

1. 跨站脚本 (xss)

跨站脚本攻击 (xss) 是一种注入攻击，攻击者通过将恶意脚本注入到网页中，欺骗用户浏览器执行，从而窃取用户敏感信息或破坏网站。xss 攻击是 web 应用程序中最常见的安全威胁之一，也是造成重大安全事故的常见原因。

攻击方式:

反射型 xss: 攻击者将恶意脚本注入到用户提交的数据中，例如评论表单、搜索表单等。当用户提交数据时，恶意脚本会被原样反射回用户浏览器，并被执行。
存储型 xss: 攻击者将恶意脚本存储在服务器端，例如将恶意脚本注入到数据库中。当用户访问包含恶意脚本的页面时，恶意脚本会被浏览器执行。
dom 型 xss: 攻击者利用浏览器 dom 的漏洞来执行恶意脚本。例如，攻击者可以利用 <script> 标签的 onerror 属性来执行恶意脚本。

防御措施:

对用户输入进行转义和过滤: 使用 html 实体转义或其他安全编码方法来转义用户输入中的特殊字符，防止恶意脚本注入。
使用 httponly cookie: 将 cookie 的 httponly 属性设置为 true，可以防止 javascript 代码直接访问 cookie。
使用 content security policy (csp): csp 是一种通过配置浏览器安全机制来限制网页中可执行内容的安全技术。
使用前端常用框架 (如vue,react等):这些框架模板字符一般都经过转义和过滤,具有一定的安全性 。代码示例
```
<form action="/submit_comment">
  <input type="text" name="comment" value="">
  <button type="submit">提交评论</button>
</form>
```
上面表单中没有对用户输入的评论进行过滤，攻击者可以输入恶意javascript代码，例如：
```
<script>
  alert(document.cookie); // 窃取用户cookie
</script>
```
当用户提交评论时，恶意代码会被嵌入到评论中，并保存在服务器上。
当其他用户访问包含恶意评论的页面时，恶意代码会被浏览器执行，从而窃取用户cookie或造成其他伤害。

2. 依赖库风险

前端网站通常会依赖很多的第三方库和组件来实现各种功能。如果这些依赖库存在漏洞，攻击者可以利用这些漏洞来攻击网站。

攻击方式:

远程代码执行 (rce): 攻击者可以利用依赖库漏洞在受害者的浏览器或服务器上执行任意代码。
跨站请求伪造 (csrf): 攻击者可以利用依赖库漏洞伪造用户请求，诱骗用户执行非预期的操作。

防御措施:

使用经过安全审计的依赖库: 选择使用经过安全审计的依赖库，可以减少依赖库漏洞的风险。
定期更新依赖库: 定期更新依赖库，及时修复已知的安全漏洞。
尽量减少对第三方库的依赖: 尽量减少对第三方库的依赖，自己开发代码，可以

代码示例:

// 使用存在漏洞的第三方库
const jsdom = require("jsdom"); 

jsdom.jsdom('<script>alert(1)</script>'); // 解析包含恶意javascript代码的html

3. 跨站请求伪造 (csrf)

跨站请求伪造 (csrf) 是一种安全攻击，攻击者诱骗用户在其已登录的应用程序中执行非预期的操作，例如转账、修改个人信息等。csrf 攻击通常利用用户的信任来实施，因为用户在自己的浏览器中看到的是来自可信网站的请求，而没有意识到该请求实际上是被攻击者伪造的。

攻击方式:

利用表单提或者链接跳转。攻击者会构造一个恶意表单或者链接，诱骗用户点击。当用户点击表单时，会向受害者的应用程序发送一个 post 请求或者get 请求，其中包含攻击者想要执行的操作。
利用图片请求: 攻击者利用浏览器对图片的自动请求特性，构造一个包含恶意请求的图片。当用户浏览包含恶意图片的页面时，浏览器会自动向受害者的应用程序发送请求，其中包含攻击者想要执行的操作。

防御措施:

在表单中添加 csrf 令牌: 在表单中添加一个随机生成的 csrf 令牌，并将其作为隐藏域提交给服务器。服务器端在验证用户请求时，会检查 csrf 令牌的有效性。
使用 http referer 头: 使用 http referer 头来检查请求来源，防止跨域请求。
使用 samesite cookie 属性: 将 cookie 的 samesite 属性设置为 strict，可以防止 csrf 攻击。

代码示例:

<form action="/transfer">
  <input type="hidden" name="amount" value="1000">
  <input type="submit" value="转账">
</form>

上面的表单中没有使用csrf令牌，攻击者可以构造一个恶意链接，诱骗用户点击。
当用户点击恶意链接时，会向转账页面发送一个post请求，其中包含转账金额等信息。
由于用户的浏览器会自动携带cookie，攻击者可以利用cookie来冒充用户身份，执行转账操作。

4. 点击劫持 (clickjacking)

点击劫持 (clickjacking) 是一种欺骗攻击，攻击者在可信赖的页面上使用透明或半透明的覆盖层来欺骗用户点击他们所看到的以外的内容，例如按钮或链接。当用户点击覆盖层时，实际上点击的是攻击者精心设计的恶意内容，例如钓鱼网站或下载恶意软件的链接。

攻击方式:

利用透明层: 攻击者在可信赖的页面上使用透明层覆盖真正的链接或按钮。当用户点击页面时，实际上点击的是透明层中的恶意内容。
利用iframe: 攻击者在可信赖的页面中嵌入一个iframe，iframe的内容是一个精心设计的恶意页面。当用户点击页面时，实际上点击的是iframe中的恶意内容。
利用css定位: 攻击者利用css定位技术将恶意内容定位在可信赖的页面之上。当用户点击页面时，实际上点击的是恶意内容。

防御措施:

使用 x-frame-options 头: 在服务器端设置 x-frame-options 头，禁止其他网站嵌入本网站的页面。
使用 content security policy (csp): csp 是一种通过配置浏览器安全机制来限制网页中可执行内容的安全技术。
避免使用透明层: 尽量避免在页面中使用透明层，如果必须使用，则需要仔细测试并确保透明层不会被攻击者利用。

示例:

<div style="position: absolute; top: 0; left: 0; width: 100%; height: 100%; opacity: 0.7;">
  <button style="position: absolute; top: 50%; left: 50%; transform: translate(-50%, -50%);">点击我</button>
</div>

<a href="https://example.com/malicious_link" rel="external nofollow" >真正的链接</a>

上述代码中，存在一个透明的覆盖层，覆盖了真正的链接。
当用户点击页面时，实际上点击的是覆盖层中的按钮，而不是真正的链接。
攻击者可以利用此漏洞来诱骗用户执行恶意操作，例如访问钓鱼网站或下载恶意软件。

5. 内容交付网络 (cdn) 劫持

内容交付网络 (cdn) 劫持是指攻击者劫持 cdn 节点，修改 cdn 上的库文件，在其中注入恶意代码，进而使应用程序的用户下载到这些恶意代码。cdn 劫持攻击通常利用 cdn 节点的安全漏洞或配置错误来实施。

攻击方式:

利用 cdn 节点漏洞: 攻击者利用 cdn 节点的漏洞，例如 sql 注入、远程代码执行 (rce) 等，获取对 cdn 节点的控制权。
利用 cdn 配置错误: 攻击者利用 cdn 配置错误，例如未启用 ssl/tls 加密、未配置访问控制等，将恶意代码注入到 cdn 节点上。

防御措施:

使用 https 加密: 在 cdn 节点和用户浏览器之间使用 https 加密，可以防止攻击者窃取或篡改传输数据。
使用内容完整性验证 (cv): 使用 cv 技术来确保 cdn 内容的完整性，防止恶意代码被注入。
定期监控 cdn 节点: 定期监控 cdn 节点的安全状况，及时发现并修复安全漏洞。
选择可靠的 cdn 服务商: 选择可靠的 cdn 服务商，可以降低被攻击的风险。

6. https 降级

https 降级是指攻击者诱使用户使用不安全的 http 连接访问应用程序，从而窃取用户敏感信息。https 是一种安全协议，可以对传输数据进行加密，防止攻击者窃取或篡改。然而，一些旧的浏览器或设备可能不支持 https，或者用户可能被攻击者诱骗使用不安全的 http 连接。

攻击方式:

利用社会工程: 攻击者通过社交工程手段，例如钓鱼网站、虚假信息等，诱骗用户点击不安全的链接。
利用浏览器漏洞: 攻击者利用浏览器漏洞，将用户重定向到不安全的 http 连接。
利用中间人攻击: 攻击者在用户和服务器之间进行拦截，将用户连接降级为不安全的 http 连接。

防御措施:

强制使用 https: 在服务器端强制使用 https 连接，并禁止 http 连接。
使用 hsts 头: 在服务器端设置 hsts 头，告诉浏览器始终使用 https 连接访问该网站。

示例:

<a href="http://example.com" rel="external nofollow" >访问网站</a>

上面的链接使用不安全的http协议，攻击者可以监听用户的网络流量，窃取用户cookie、表单数据等敏感信息。

7. 中间人攻击

中间人攻击 (man-in-the-middle attack) 是攻击者在用户和服务器之间进行拦截，窃取或篡改通信内容。中间人攻击通常利用不安全的网络连接或 wi-fi 热点来实施。

攻击方式:

利用不安全的网络连接: 攻击者建立一个伪造的 wi-fi 热点，并诱骗用户连接。当用户通过伪造的 wi-fi 热点访问网站时，攻击者可以窃取用户发送到服务器的 cookie、表单数据、登录凭证等敏感信息。
利用 ssl/tls 漏洞: 攻击者利用 ssl/tls 协议的漏洞，例如心脏出血漏洞、poodle 漏洞等，解密用户和服务器之间的通信内容。。

防御措施:

为了防御中间人攻击，开发人员可以采取以下措施：