Web前端安全性研究,網(wǎng)站設(shè)計(jì)論文

Web前端安全性研究,網(wǎng)站設(shè)計(jì)論文內(nèi)容摘要：現(xiàn)代社會網(wǎng)絡(luò)的快速普及,人們越來越依靠網(wǎng)絡(luò),廣大網(wǎng)絡(luò)用戶通過互聯(lián)網(wǎng)了解更多信息的同時,也面臨著信息泄露的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全成為了社會發(fā)展的焦點(diǎn)話題,展如今用戶面前的前端界面越來越多元化,這就需要更多地去了解信息安全。系統(tǒng)地分析了當(dāng)下Web存在的安全問題,并給出相應(yīng)的防護(hù)措施。本文關(guān)鍵詞語：網(wǎng)絡(luò)安全,Web技術(shù),XSS攻擊,CSRF攻擊隨著時代的發(fā)展,從蒸汽時代到電氣時代,再到如今的互聯(lián)網(wǎng)時代,每個時代對應(yīng)不同的考驗(yàn)?；ヂ?lián)網(wǎng)的飛速發(fā)展,人們能夠不出家門得到自個想要的東西,在網(wǎng)上輸入了自個的基本信息,這些信息安不安全?首當(dāng)其沖的Web成為了黑客的目的,就當(dāng)前的Web前端安全進(jìn)行深切進(jìn)入的研究。1主要攻擊方式1.1XSS跨站腳本攻擊(XSS),英文全稱CrossSiteScript。是指黑客通過插入惡意的腳本,在用戶閱讀網(wǎng)頁的時候,控制用戶閱讀器,獲取信息的一種攻擊方式。反射性XSS,當(dāng)需要處理網(wǎng)站url中的參數(shù)時,這時候能夠獲取到這個id,當(dāng)然這種正常的參數(shù)對沒有任何惡意行為,但是當(dāng)url變成(xss)script,華而不實(shí)的id參數(shù)換成一個script標(biāo)簽,假如沒有做特殊處理,它則會執(zhí)行華而不實(shí)的腳本語言,對閱讀器施行攻擊。存儲性XSS,Web界面有很多輸入框,這些輸入框大部分用于向后臺傳輸數(shù)據(jù)。當(dāng)需要保存一部分?jǐn)?shù)據(jù)時,比方在一個輸入框中輸入mynameisxxx,用戶就能夠在界面看到輸入的數(shù)據(jù),當(dāng)在輸入框中輸入scriptalert(xss)/script,不做任何處理的話,用戶在界面看到的則不是scriptalert(xss)script,而是華而不實(shí)腳本執(zhí)行后的內(nèi)容,這種XSS攻擊具有持久性。1.2CSRF跨站請求攻擊(CSRF),英文全稱CrossSiteRequestForgery。是指攻擊者盜用你的身份,以合法的名義執(zhí)行某些操作,比方購買商品、添加管理員、刪除一些用戶資料、甚至用于轉(zhuǎn)賬等操作,危害極深。CSRF攻擊原理:(1)用戶user打開閱讀器,訪問一個受信任的網(wǎng)站A,輸入用戶名以及密碼登錄。(2)用戶通過網(wǎng)站A驗(yàn)證后,網(wǎng)站A將Cookie等信息返回給用戶的閱讀器,顯示登錄成功。(3)在同一個閱讀器中,誘導(dǎo)用戶點(diǎn)擊一些圖片等界面,打開不信任的網(wǎng)站B。(4)網(wǎng)站B這時候接收到用戶的請求,會攻擊性代碼訪問網(wǎng)站A。(5)閱讀器并不知道這是網(wǎng)站B發(fā)起的請求,它會根據(jù)用戶的權(quán)限去執(zhí)行這段代碼,導(dǎo)致用戶被攻擊。1.3界面劫持界面劫持屬于一種視覺上的欺騙,攻擊者通過使用一個透明的圖層,用戶看到的界面是正常的,當(dāng)進(jìn)行一些點(diǎn)擊操作時,發(fā)現(xiàn)點(diǎn)擊的結(jié)果并不是想要的,誘導(dǎo)做出錯誤的操作,當(dāng)點(diǎn)擊一個input框,用來輸入用戶名、密碼時,其實(shí)點(diǎn)擊的并不是當(dāng)下網(wǎng)站的輸入框,而是一個透明的偽裝的輸入框,將數(shù)據(jù)提交后,攻擊者就會獲取到用戶的信息,進(jìn)而到達(dá)目的。(1)攻擊者準(zhǔn)備一個網(wǎng)站,將正常受信任的網(wǎng)站作為一個iframe嵌入,用戶實(shí)際看到的是受信任的網(wǎng)站界面。(2)通過css樣式將攻擊者準(zhǔn)備的一些操作界面透明化,并將其覆蓋在iframe之上。(3)引導(dǎo)用戶點(diǎn)擊iframe中正常的界面,實(shí)際則是點(diǎn)擊偽裝的透明的界面。(4)跳轉(zhuǎn)至其他界面或者彈出輸入框,引導(dǎo)用戶輸入用戶名及密碼。1.4localStorage存儲5本地存儲,能夠?qū)⒁徊糠謹(jǐn)?shù)據(jù)保存在用戶本地,當(dāng)用戶的網(wǎng)頁存在XSS漏洞時,攻擊者就能夠獲取存儲的信息,或者刪除存儲的信息。通過localStorage.getItem(key)能夠讀取localStorage中的信息。當(dāng)里面存有明文的用戶名和密碼時,會對用戶的資產(chǎn)造成重大的損失。2防護(hù)措施2.1輸入過濾針對大部分XSS攻擊,攻擊的源頭就是輸入框中輸入非法的腳本語言。永遠(yuǎn)不要信任用戶輸入的內(nèi)容,對用戶輸入的內(nèi)容進(jìn)行檢測,過濾掉掉如、、/、script等字符,或者對這些字符進(jìn)行編碼,或者在輸入框中寫相應(yīng)的校驗(yàn),當(dāng)用戶輸入這些非法字符時,禁止用戶提交表單。在網(wǎng)站中,還有網(wǎng)站url能夠讓用戶隨意輸入,網(wǎng)站中獲取華而不實(shí)的參數(shù)時,也要對其過濾,這樣能夠有效防止XSS的攻擊,讓攻擊者無處下手。2.2輸出處理XSS攻擊基本就是在輸入和輸出中,輸入做了限制后,同樣在用戶保存了數(shù)據(jù)之后,在輸出中也要做對應(yīng)的過濾,過濾掉非法字符,這樣保證網(wǎng)站不會出現(xiàn)XSS攻擊。2.3Cookie設(shè)置利用XSS攻擊,攻擊者能夠很容易獲取到Cookie數(shù)據(jù),為了避免數(shù)據(jù)發(fā)生泄漏,能夠?qū)θA而不實(shí)的關(guān)鍵數(shù)據(jù),如用戶名、密碼,使用MD5等加密?；蛘邔ookie設(shè)置為HttpOnly或Secure,能夠有效防止Cookie的泄露。華而不實(shí)HttpOnly能夠直接禁止JavaScript獲取Cookie,將獲取途徑切斷,進(jìn)而保證Cookie的安全性;而Secure則只允許在協(xié)議中使用Cookie,而協(xié)議通過ssl層加密,能夠?qū)⑷A而不實(shí)的敏感信息加密傳輸,防止Cookie的泄露。2.4第三方網(wǎng)站內(nèi)嵌權(quán)限設(shè)置很多網(wǎng)站通過iframe引入第三方網(wǎng)站,第三方網(wǎng)站遭到網(wǎng)絡(luò)攻擊后,就會影響到網(wǎng)站,華而不實(shí)的內(nèi)容發(fā)生改變時,比方多了些輸入框,誘導(dǎo)用戶輸入敏感信息,能夠通過iframe的sandbox屬性,禁止用戶在華而不實(shí)做任何操作,比方提交表單等危險(xiǎn)操作,僅僅用于展示界面,解決iframe的安全風(fēng)險(xiǎn)。2.5驗(yàn)證碼對一些高危險(xiǎn)操作,比方登錄、轉(zhuǎn)賬等操作,能夠使用驗(yàn)證碼的方式避免CSRF攻擊,確保該操作是由用戶本身操作。由于用戶的體驗(yàn)性問題,不可能將所有的操作都做驗(yàn)證碼判定,這種手段只能作為一種輔助手段,不能作為主要的解決方案。攻擊者能夠使用一些腳本不斷嘗試輸入密碼,暴力破解,或者進(jìn)行刷票等操作,通過隨機(jī)生成的不規(guī)則字符驗(yàn)證碼,使攻擊者不能通過腳本辨別。驗(yàn)證碼也能防止大量的請求,導(dǎo)致服務(wù)器過載。當(dāng)然還有手機(jī)驗(yàn)證碼,通過當(dāng)下賬戶綁定的手機(jī)號碼,發(fā)送到用戶的手機(jī)上,保證登錄等操作是由合法用戶發(fā)起。2.6TokenToken是由服務(wù)端生成的,用戶輸入正確的賬戶名與密碼時,服務(wù)端返回一個隨機(jī)的Token,客戶端每次請求服務(wù)器時需要帶上這個Token,用來證明它的合法性。由于http協(xié)議的無狀態(tài)性,服務(wù)端無法辨別詳細(xì)的請求發(fā)起者,Token能夠用來辨別合法的請求。Token認(rèn)證,用戶在提交表單的時候,比照當(dāng)下用戶的Token,若一致,則執(zhí)行用戶的操作。當(dāng)然,Token也具有時效性,當(dāng)用戶的Token過期時,提示用戶重新登錄。2.7協(xié)議Http協(xié)議使用明文傳輸,數(shù)據(jù)在傳輸時非常容易遭到泄露,包括Cookie、Token以及用戶的賬戶名及密碼,當(dāng)這些數(shù)據(jù)被攻擊者獲取之后,就會發(fā)生CSRF攻擊。使用協(xié)議在數(shù)據(jù)傳輸前使用SSL協(xié)議能夠?qū)鬏數(shù)牡膬?nèi)容進(jìn)行加密,極大地避免信息被攻擊者竊取。協(xié)議的優(yōu)勢:(1)數(shù)據(jù)的加密;由于使用SSL加密,攻擊者無法直接查看傳輸?shù)膬?nèi)容。(2)證書驗(yàn)證;Http屬于無狀態(tài)連接,采用證書認(rèn)證的方式保證用戶的合法性,但由于當(dāng)前大部分證書是收費(fèi)的,小型網(wǎng)站能夠不用協(xié)議。(3)一致性;能夠保證數(shù)據(jù)在傳輸經(jīng)過中不被竊取、改變。結(jié)束語互聯(lián)網(wǎng)時代的到來,越來越多的信息涌入,每個人的信息都在互聯(lián)網(wǎng)上,信息安全問題就顯得尤為重要,每一個網(wǎng)站漏洞都會被攻擊者作為獲取用戶信息的渠道,這就需要Web的開發(fā)者有更多的安全知識,不斷提高自個的專業(yè)技能,將前端安全防患于未然,做好網(wǎng)站的防火墻,避免惡意代碼的攻擊,保衛(wèi)好用戶的基本信息,營造一個安全的互聯(lián)網(wǎng)環(huán)境。以下為參考文獻(xiàn)[1]王燕妮.W