摘要：前端最基礎(chǔ)的就是。但是如果是盜竊，異常提交請(qǐng)求，這些就屬于危險(xiǎn)操作?？梢杂脕?lái)偽裝成其他用戶操作，有可能就會(huì)造成財(cái)產(chǎn)上的損失。劫持有的時(shí)候運(yùn)營(yíng)商的劫持還是沒(méi)辦法。

前端最基礎(chǔ)的就是 HTML+CSS+Javascript。掌握了這三門技術(shù)就算入門，但也僅僅是入門，現(xiàn)在前端開(kāi)發(fā)的定義已經(jīng)遠(yuǎn)遠(yuǎn)不止這些。前端小課堂（HTML/CSS/JS），本著提升技術(shù)水平，打牢基礎(chǔ)知識(shí)的中心思想，我們開(kāi)課啦（每周四）。

這塊內(nèi)容是在會(huì)后又加了一節(jié)（老板說(shuō)要處理這塊內(nèi)容）。之前其實(shí)就做過(guò)一期這樣的內(nèi)容XSS_跨站腳本攻擊

xss 是什么？

攻擊原理是什么？

危害

預(yù)防手段是什么？

web 安全還有什么是需要注意的

XSS 攻擊全稱跨站腳本攻擊 (Cross Site Scripting)，是為不和層疊樣式表 (Cascading Style Sheets, CSS) 的縮寫混淆，故將跨站腳本攻擊縮寫為 XSS，XSS 是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意 web 用戶將代碼植入到提供給其它用戶使用的頁(yè)面中。

惡意攻擊者往 Web 頁(yè)面里插入惡意 javascript 代碼。當(dāng)其他用戶瀏覽該頁(yè)面時(shí)，嵌入的代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的目的。

常見(jiàn)于一些私人的博客，攻擊者惡意評(píng)論，彈出alert，這種充其量也就是一個(gè)玩笑。
但是如果是盜竊cookie，異常提交請(qǐng)求，這些就屬于危險(xiǎn)操作。cookie可以用來(lái)偽裝成其他用戶操作，有可能就會(huì)造成財(cái)產(chǎn)上的損失。

首先我們來(lái)分析他攻擊方式，在其他用戶端執(zhí)行了一段異常代碼，那么我們不執(zhí)行不就好了嗎？

富文本情況，這個(gè)可屬于重災(zāi)區(qū)，因?yàn)槟悴淮_定內(nèi)容是什么，你還要原樣輸出。業(yè)界方案一般來(lái)說(shuō)是白名單，比如說(shuō) 等，故意破壞數(shù)據(jù)的。

toURL，這個(gè)就是判斷存在不存在javascript:alert();的情況了。

頁(yè)面 innerHTML 或者 write。這個(gè)怎么說(shuō)呢，Vue 或者一些框架是沒(méi)問(wèn)題的，因?yàn)樗麄兪遣宀鄯?，而不是拼接法?/p>

toHtml，主要用于 jquery ，處理一些字符變成實(shí)體編碼

toURL,也是用來(lái)判斷javascript:alert();的情況

XSS、CSRF、arp、xff、中間人攻擊、運(yùn)營(yíng)商劫持、防暴刷

CSRF 一般來(lái)說(shuō)就是頁(yè)面直出一個(gè)token,每次請(qǐng)求都帶上token。

劫持 https有的時(shí)候運(yùn)營(yíng)商的劫持還是沒(méi)辦法。

刷，這個(gè)略坑。

Web安全學(xué)習(xí)筆記
也是當(dāng)初在網(wǎng)上找資料發(fā)現(xiàn)的。介紹的挺全面的。