Web前端安全性研究,网站设计论文.docx

《Web前端安全性研究,网站设计论文.docx》由会员分享，可在线阅读，更多相关《Web前端安全性研究,网站设计论文.docx（8页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Web前端安全性研究,网站设计论文内容摘要：现代社会网络的快速普及, 人们越来越依靠网络, 广大网络用户通过互联网了解更多信息的同时, 也面临着信息泄露的风险。网络安全成为了社会发展的焦点话题, 展如今用户面前的前端界面越来越多元化, 这就需要更多地去了解信息安全。系统地分析了当下Web存在的安全问题, 并给出相应的防护措施。 本文关键词语：网络安全,Web技术,XSS攻击,CSRF攻击 随着时代的发展, 从蒸汽时代到电气时代, 再到如今的互联网时代, 每个时代对应不同的考验。互联网的飞速发展, 人们能够不出家门得到自个想要的东西, 在网上输入了自个的基本信息, 这些信息安不安全?首当其冲的W

2、eb成为了黑客的目的, 就当前的Web前端安全进行深切进入的研究。 1 主要攻击方式 1.1 XSS 跨站脚本攻击 (XSS) , 英文全称Cross Site Script。是指黑客通过插入恶意的脚本, 在用户阅读网页的时候, 控制用户阅读器, 获取信息的一种攻击方式。 反射性XSS, 当需要处理网站url中的参数时, 这时候能够获取到这个id, 当然这种正常的参数对没有任何恶意行为, 但是当url变成 ( xss ) script , 华而不实的id参数换成一个script标签, 假如没有做特殊处理, 它则会执行华而不实的脚本语言, 对阅读器施行攻击。 存储性XSS, Web界面有很多输入

3、框, 这些输入框大部分用于向后台传输数据。当需要保存一部分数据时, 比方在一个输入框中输入 my name is xxx , 用户就能够在界面看到输入的数据, 当在输入框中输入 script alert ( xss ) /script , 不做任何处理的话, 用户在界面看到的则不是 script alert ( xss ) script , 而是华而不实脚本执行后的内容, 这种XSS攻击具有持久性。 1.2 CSRF 跨站请求攻击 (CSRF) , 英文全称Cross Site Request Forgery。是指攻击者盗用你的身份, 以合法的名义执行某些操作, 比方购买商品、添加管理员、删除

4、一些用户资料、甚至用于转账等操作, 危害极深。 CSRF攻击原理: (1) 用户user打开阅读器, 访问一个受信任的网站A, 输入用户名以及密码登录。 (2) 用户通过网站A验证后, 网站A将Cookie等信息返回给用户的阅读器, 显示登录成功。 (3) 在同一个阅读器中, 诱导用户点击一些图片等界面, 打开不信任的网站B。 (4) 网站B这时候接收到用户的请求, 会攻击性代码访问网站A。 (5) 阅读器并不知道这是网站B发起的请求, 它会根据用户的权限去执行这段代码, 导致用户被攻击。 1.3 界面劫持 界面劫持属于一种视觉上的欺骗, 攻击者通过使用一个透明的图层, 用户看到的界面是正常的

5、, 当进行一些点击操作时, 发现点击的结果并不是想要的, 诱导做出错误的操作, 当点击一个input框, 用来输入用户名、密码时, 其实点击的并不是当下网站的输入框, 而是一个透明的伪装的输入框, 将数据提交后, 攻击者就会获取到用户的信息, 进而到达目的。 (1) 攻击者准备一个网站, 将正常受信任的网站作为一个iframe嵌入, 用户实际看到的是受信任的网站界面。 (2) 通过css样式将攻击者准备的一些操作界面透明化, 并将其覆盖在iframe之上。 (3) 引导用户点击iframe中正常的界面, 实际则是点击伪装的透明的界面。 (4) 跳转至其他界面或者弹出输入框, 引导用户输入用户名

6、及密码。 1.4 localStorage存储 5本地存储, 能够将一部分数据保存在用户本地, 当用户的网页存在XSS漏洞时, 攻击者就能够获取存储的信息, 或者删除存储的信息。通过localStorage.getItem (key) 能够读取localStorage中的信息。当里面存有明文的用户名和密码时, 会对用户的资产造成重大的损失。 2 防护措施 2.1 输入过滤 针对大部分XSS攻击, 攻击的源头就是输入框中输入非法的脚本语言。永远不要信任用户输入的内容, 对用户输入的内容进行检测, 过滤掉掉如 、 、 / 、 script 等字符, 或者对这些字符进行编码, 或者在输入框中写相应的

7、校验, 当用户输入这些非法字符时, 禁止用户提交表单。在网站中, 还有网站url能够让用户随意输入, 网站中获取华而不实的参数时, 也要对其过滤, 这样能够有效防止XSS的攻击, 让攻击者无处下手。 2.2 输出处理 XSS攻击基本就是在输入和输出中, 输入做了限制后, 同样在用户保存了数据之后, 在输出中也要做对应的过滤, 过滤掉非法字符, 这样保证网站不会出现XSS攻击。 2.3 Cookie设置 利用XSS攻击, 攻击者能够很容易获取到Cookie数据, 为了避免数据发生泄漏, 能够对华而不实的关键数据, 如用户名、密码, 使用MD5等加密。 或者将Cookie设置为Http Only或

8、Secure, 能够有效防止Cookie的泄露。华而不实Http Only能够直接禁止JavaScript获取Cookie, 将获取途径切断, 进而保证Cookie的安全性;而Secure则只允许在协议中使用Cookie, 而协议通过ssl层加密, 能够将华而不实的敏感信息加密传输, 防止Cookie的泄露。 2.4 第三方网站内嵌权限设置 很多网站通过iframe引入第三方网站, 第三方网站遭到网络攻击后, 就会影响到网站, 华而不实的内容发生改变时, 比方多了些输入框, 诱导用户输入敏感信息, 能够通过iframe的sandbox属性, 禁止用户在华而不实做任何操作, 比方提交表单等危险操

9、作, 仅仅用于展示界面, 解决iframe的安全风险。 2.5 验证码 对一些高危险操作, 比方登录、转账等操作, 能够使用验证码的方式避免CSRF攻击, 确保该操作是由用户本身操作。由于用户的体验性问题, 不可能将所有的操作都做验证码判定, 这种手段只能作为一种辅助手段, 不能作为主要的解决方案。攻击者能够使用一些脚本不断尝试输入密码, 暴力破解, 或者进行刷票等操作, 通过随机生成的不规则字符验证码, 使攻击者不能通过脚本辨别。验证码也能防止大量的请求, 导致服务器过载。当然还有手机验证码, 通过当下账户绑定的手机号码, 发送到用户的手机上, 保证登录等操作是由合法用户发起。 2.6 To

10、ken Token是由服务端生成的, 用户输入正确的账户名与密码时, 服务端返回一个随机的Token, 客户端每次请求服务器时需要带上这个Token, 用来证明它的合法性。由于http协议的无状态性, 服务端无法辨别详细的请求发起者, Token能够用来辨别合法的请求。Token认证, 用户在提交表单的时候, 比照当下用户的Token, 若一致, 则执行用户的操作。当然, Token也具有时效性, 当用户的Token过期时, 提示用户重新登录。 2.7 协议 Http协议使用明文传输, 数据在传输时非常容易遭到泄露, 包括Cookie、Token以及用户的账户名及密码, 当这些数据被攻击者获取

11、之后, 就会发生CSRF攻击。使用协议在数据传输前使用SSL协议能够将传输的的内容进行加密, 极大地避免信息被攻击者窃取。 协议的优势: (1) 数据的加密;由于使用SSL加密, 攻击者无法直接查看传输的内容。 (2) 证书验证;Http属于无状态连接, 采用证书认证的方式保证用户的合法性, 但由于当前大部分证书是收费的, 小型网站能够不用协议。 (3) 一致性;能够保证数据在传输经过中不被窃取、改变。 结束语 互联网时代的到来, 越来越多的信息涌入, 每个人的信息都在互联网上, 信息安全问题就显得尤为重要, 每一个网站漏洞都会被攻击者作为获取用户信息的渠道, 这就需要Web的开发者有更多的安全知识, 不断提高自个的专业技能, 将前端安全防患于未然, 做好网站的防火墙, 避免恶意代码的攻击, 保卫好用户的基本信息, 营造一个安全的互联网环境。 以下为参考文献 1王燕妮. Web前端安全问题及对策J.电脑编程技巧与维护, 2021, (3) :90. 2李响. Web前端安全J.科技创新与应用, 2021, (23) :92. 3沈鑫剡.计算机网络安全M.清华大学出版社, 2018. 4施瑞明, 单浩樾. Web网页木马的概念、攻击与防御J.通讯世界, 2021, (4) :290.