web前端论文(精选8篇范文)之第七篇
摘要:当代社会网络的快速普及, 人们越来越依赖网络, 广大网络用户通过互联网了解更多信息的同时, 也面临着信息泄露的风险。网络安全成为了社会发展的焦点话题, 展现在用户面前的前端界面越来越多元化, 这就需要更多地去了解信息安全。系统地分析了当前Web存在的安全问题, 并给出相应的防护措施。
关键词:网络安全,Web技术,XSS攻击,CSRF攻击
随着时代的发展, 从蒸汽时代到电气时代, 再到如今的互联网时代, 每个时代对应不同的考验。互联网的飞速发展, 人们可以不出家门得到自己想要的东西, 在网上输入了自己的基本信息, 这些信息安不安全?首当其冲的Web成为了黑客的目标, 就目前的Web前端安全进行深入的研究。
1 主要攻击方式
1.1 XSS
跨站脚本攻击 (XSS) , 英文全称Cross Site Script。是指黑客通过插入恶意的脚本, 在用户浏览网页的时候, 控制用户浏览器, 获取信息的一种攻击方式。
反射性XSS, 当需要处理网站url中的参数时, 这时候可以获取到这个id, 当然这种正常的参数对没有任何恶意行为, 但是当url变成 (‘xss’) <script>, 其中的id参数换成一个script标签, 如果没有做特殊处理, 它则会执行其中的脚本语言, 对浏览器实施攻击。
存储性XSS, Web界面有很多输入框, 这些输入框大部分用于向后台传输数据。当需要保存一部分数据时, 比如在一个输入框中输入“my name is xxx”, 用户就可以在界面看到输入的数据, 当在输入框中输入“<script>alert (‘xss’) </script>”, 不做任何处理的话, 用户在界面看到的则不是“<script>alert (‘xss’) <script>”, 而是其中脚本执行后的内容, 这种XSS攻击具有持久性。
1.2 CSRF
跨站请求攻击 (CSRF) , 英文全称Cross Site Request Forgery。是指攻击者盗用你的身份, 以合法的名义执行某些操作, 比如购买商品、添加管理员、删除一些用户资料、甚至用于转账等操作, 危害极深。
CSRF攻击原理:
(1) 用户user打开浏览器, 访问一个受信任的网站A, 输入用户名以及密码登录。
(2) 用户通过网站A验证后, 网站A将Cookie等信息返回给用户的浏览器, 显示登录成功。
(3) 在同一个浏览器中, 诱导用户点击一些图片等界面, 打开不信任的网站B。
(4) 网站B这时候接收到用户的请求, 会攻击性代码访问网站A。
(5) 浏览器并不知道这是网站B发起的请求, 它会按照用户的权限去执行这段代码, 导致用户被攻击。
1.3 界面劫持
界面劫持属于一种视觉上的欺骗, 攻击者通过使用一个透明的图层, 用户看到的界面是正常的, 当进行一些点击操作时, 发现点击的结果并不是想要的, 诱导做出错误的操作, 当点击一个input框, 用来输入用户名、密码时, 其实点击的并不是当前网站的输入框, 而是一个透明的伪装的输入框, 将数据提交后, 攻击者就会获取到用户的信息, 从而达到目的。
(1) 攻击者准备一个网站, 将正常受信任的网站作为一个iframe嵌入, 用户实际看到的是受信任的网站界面。
(2) 通过css样式将攻击者准备的一些操作界面透明化, 并将其覆盖在iframe之上。
(3) 引导用户点击iframe中正常的界面, 实际则是点击伪装的透明的界面。
(4) 跳转至其他界面或者弹出输入框, 引导用户输入用户名及密码。
1.4 localStorage存储
HTML5本地存储, 可以将一部分数据保存在用户本地, 当用户的网页存在XSS漏洞时, 攻击者就可以获取存储的信息, 或者删除存储的信息。通过localStorage.getItem (key) 可以读取localStorage中的信息。当里面存有明文的用户名和密码时, 会对用户的资产造成重大的损失。
2 防护措施
2.1 输入过滤
针对大部分XSS攻击, 攻击的源头就是输入框中输入非法的脚本语言。永远不要信任用户输入的内容, 对用户输入的内容进行检测, 过滤掉掉如“<”、“>”、“/”、“<script>”等字符, 或者对这些字符进行编码, 或者在输入框中写相应的校验, 当用户输入这些非法字符时, 禁止用户提交表单。在网站中, 还有网站url可以让用户随意输入, 网站中获取其中的参数时, 也要对其过滤, 这样可以有效防止XSS的攻击, 让攻击者无处下手。
2.2 输出处理
XSS攻击基本就是在输入和输出中, 输入做了限制后, 同样在用户保存了数据之后, 在输出中也要做对应的过滤, 过滤掉非法字符, 这样保证网站不会出现XSS攻击。
2.3 Cookie设置
利用XSS攻击, 攻击者可以很容易获取到Cookie数据, 为了避免数据发生泄漏, 可以对其中的关键数据, 如用户名、密码, 使用MD5等加密。
或者将Cookie设置为Http Only或Secure, 可以有效防止Cookie的泄露。其中Http Only可以直接禁止JavaScript获取Cookie, 将获取途径切断, 从而保证Cookie的安全性;而Secure则只允许在https协议中使用Cookie, 而https协议通过ssl层加密, 可以将其中的敏感信息加密传输, 防止Cookie的泄露。
2.4 第三方网站内嵌权限设置
很多网站通过iframe引入第三方网站, 第三方网站遭到网络攻击后, 就会影响到网站, 其中的内容发生改变时, 比如多了些输入框, 诱导用户输入敏感信息, 可以通过iframe的sandbox属性, 禁止用户在其中做任何操作, 比如提交表单等危险操作, 仅仅用于展示界面, 解决iframe的安全风险。
2.5 验证码
对一些高危险操作, 比如登录、转账等操作, 可以使用验证码的方式避免CSRF攻击, 确保该操作是由用户本身操作。由于用户的体验性问题, 不可能将所有的操作都做验证码判断, 这种手段只能作为一种辅助手段, 不能作为主要的解决方案。攻击者可以使用一些脚本不断尝试输入密码, 暴力破解, 或者进行刷票等操作, 通过随机生成的不规则字符验证码, 使攻击者不能通过脚本识别。验证码也能防止大量的请求, 导致服务器过载。当然还有手机验证码, 通过当前账户绑定的手机号码, 发送到用户的手机上, 保证登录等操作是由合法用户发起。
2.6 Token
Token是由服务端生成的, 用户输入正确的账户名与密码时, 服务端返回一个随机的Token, 客户端每次请求服务器时需要带上这个Token, 用来证明它的合法性。由于http协议的无状态性, 服务端无法识别具体的请求发起者, Token可以用来识别合法的请求。Token认证, 用户在提交表单的时候, 对比当前用户的Token, 若一致, 则执行用户的操作。当然, Token也具有时效性, 当用户的Token过期时, 提示用户重新登录。
2.7 Https协议
Http协议使用明文传输, 数据在传输时非常容易遭到泄露, 包括Cookie、Token以及用户的账户名及密码, 当这些数据被攻击者获取之后, 就会发生CSRF攻击。使用Https协议在数据传输前使用SSL协议可以将传输的的内容进行加密, 极大地避免信息被攻击者窃取。
Https协议的优势:
(1) 数据的加密;由于使用SSL加密, 攻击者无法直接查看传输的内容。
(2) 证书验证;Http属于无状态连接, Https采用证书认证的方式保证用户的合法性, 但由于目前大部分证书是收费的, 小型网站可以不用Https协议。
(3) 一致性;可以保证数据在传输过程中不被窃取、改变。
结语
互联网时代的到来, 越来越多的信息涌入, 每个人的信息都在互联网上, 信息安全问题就显得尤为重要, 每一个网站漏洞都会被攻击者作为获取用户信息的渠道, 这就需要Web的开发者有更多的安全知识, 不断提高自己的专业技能, 将前端安全防患于未然, 做好网站的防火墙, 避免恶意代码的攻击, 保护好用户的基本信息, 营造一个安全的互联网环境。
参考文献
[1]王燕妮. Web前端安全问题及对策[J].电脑编程技巧与维护, 2016, (3) :90.
[2]李响. Web前端安全[J].科技创新与应用, 2016, (23) :92.
[3]沈鑫剡.计算机网络安全[M].清华大学出版社, 2009.
[4]施瑞明, 单浩樾. Web网页木马的概念、攻击与防御[J].通讯世界, 2017, (4) :290.
