相信大家对前端漏洞的成因和攻击方式都有一定的了解。只有熟悉了“进攻”,才能对防守有更深的理解。毕竟防守总是比进攻难。接下来,我们将进行详细的研究。防御前端攻击主要有三个角度。
1.XSS国防网站。网站防御是指在网络层面和代码层面阻止XSS的形成。在编写程序时,我们应该仔细处理将输出到页面的每个参数,始终记住用户的任何输入都可能不可靠,并过滤掉常规参数,如=,等敏感符号。操作富文本元素时,要过滤脚本标签和常见的JS事件元素等,防止恶意JS被执行。与此同时,它已经出现在网络上。
2.用户防御。前端漏洞不同于注入攻击和其他漏洞。其中一些(如跨站点XSS攻击)在一定程度上仍然依赖于用户的手动触发,因此作为用户,安全意识也是必不可少的。目前主要的攻击方式是在看似可信的网站中插入恶意JS代码,往往难以防范。因此,养成警惕上网的习惯非常重要。比如:(1)不要轻易打开莫名其妙的邮件;(2)不要打开陌生人发送的不可信链接;(3)打开大量转发的帖子并加入并不容易(因为可能是黑客发布的XSS蠕虫)。一般来说,用户保护自己免受前端攻击的方法很少,有时很难防止。因此,我们应该关注互联网安全的发展,希望读者在学习本章后能够理解这种情况,并尽最大努力提高互联网安全。
3.浏览器防御。随着前端安全问题越来越受到重视,浏览器厂商开始采取行动,为用户提供更安全的互联网环境。IE浏览器的XSSfilter和Chrome浏览器的XSSauditor可以有效限制反射式XSS攻击。如果读者是一个有安全意识的人,那么将你的默认浏览器设置为Chrome是一个非常明智的选择,因为大多数基于前端攻击的恶意链接在它面前可能是束手无策的。也希望在浏览器厂商的积极配合下,前端安全问题在未来几年成为历史,让人们的互联网环境在安全性上更加无可挑剔。如果很多朋友仍然不知道如何做XSS保护,他们可以去网站安全公司寻求帮助。国内的SINESAFE、鹰盾安全、大树安全、启明星辰等公司都是以网站安全防护为目标的安全公司。