浅谈 Web 安全

为一个前端工程师来说,我们要做的不仅仅的写出代码,构建一个网页,同时,我们还要考虑我们写的网站的安全问题。如果安全性得不到保障,一些有不良企图的人就可能会通过非法手段获取我们的隐私,来进行牟利、诈骗等等一系列非法行为。所以,Web 安全问题同样时我们前端工程师需要非常重视的一个地方。

前言

为一个前端工程师来说,我们要做的不仅仅的写出代码,构建一个网页,同时,我们还要考虑我们写的网站的安全问题。如果安全性得不到保障,一些有不良企图的人就可能会通过非法手段获取我们的隐私,来进行牟利、诈骗等等一系列非法行为。所以,Web 安全问题同样时我们前端工程师需要非常重视的一个地方。

今天,我们就来谈谈黑客攻击的几种常见方式和防范方法。

一、Sql 注入

原理

通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。

防范方法

  • 永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双”-“进行转换等。
  • 永远不要使用动态拼装 SQL,可以使用参数化的 SQL 或者直接使用存储过程进行数据查询存取。
  • 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  • 不要把机密信息明文存放,请加密或者 hash 掉密码和敏感的信息。

二、XSS 攻击

原理

Xss(cross-site scripting)攻击指的是攻击者往 Web 页面里插入恶意 html 标签或者 javascript 代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。

防范方法

  • 代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以 encode,避免不小心把 html tag 弄出来。这一个层面做好,至少可以堵住超过一半的 XSS 攻击。
  • 避免直接在 cookie 中泄露用户隐私,例如 email、密码等等。
  • 通过使 cookie 和系统 ip 绑定来降低 cookie 泄露后的危险。这样攻击者得到的 cookie 没有实际价值,不可能拿来重放。
  • 如果网站不需要再浏览器端对 cookie 进行操作,可以在 Set-Cookie 末尾加上 HttpOnly 来防止 javascript 代码直接获取 cookie 。
  • 尽量采用 POST 而非 GET 提交表单。

三、CSRF 漏洞

原理

当用户访问恶意网站 B,恶意网站 B 返回给用户的 HTTP 信息中要求用户访问网站 A,而由于用户和网站 A 之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。

要完成一次 CSR F 攻击,受害者必须依次完成两个步骤:

  • 登录受信任网站 A,并在本地生成 Cookie。
  • 在不登出 A 的情况下,访问危险网站 B。

防范方法

  • 服务端的 CSRF 防范方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。
  • 通过验证码的方法。

总结

我们作为一个工程师,尤其是作为一个前端工程师,是离用户最近的,我们要做的不仅仅是把页面呈现给用户,更应该从用户角度考虑,安全问题是一个非常重要的问题,值得我们特别注意,在以后的工作中尤为注意。