Open duhongjun opened 6 years ago
防御劫持最好的方法还是从后端入手,前端能做的实在太少。而且由于源码的暴露,攻击者很容易绕过我们的防御手段。
X-FRAME-OPTIONS
HTTPS
<
>
"
cookie
HttpOnly
MutationObserver
document
setAttribute
document.write
CSP
a
rel=noopener
Referer
token
http://www.cnblogs.com/coco1s/p/5777260.html
HTTP劫持:
X-FRAME-OPTIONS
HTTPS
!防御XSS:
<
,>
,"
等 )cookie
中设置HttpOnly
属性后,js脚本将无法读取到cookie
信息(自己也用不了了, 视情况使用)。MutationObserver
监控document
拦截注入的静态脚本setAttribute
和document.write
属性, 每次执行都进行黑/白名单匹配CSP
,用来定义页面可以加载哪些资源,减少 XSS 的发生。a
标签打开新窗口时, 记得加上rel=noopener
,防止新页面对旧页面的危险操作!CSRF:
Referer
字段token
并验证参考资料