web安全策略和同源策略的意义

如果登陆了一个网站，不小心又打开另一个恶意网站，如果没有安全策略，则他可以对已登录的网站进行任意的dom操作、伪造接口请求等，因此安全策略是必要的；

 

浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作、不可以读取非同源的cookie、indexDB、localStorge等数据与资源

XSS-跨站脚本攻击

理解

由于实际业务不可能完全不引用第三方的资源，因此需要跨域访问，而支持第三方资源引用就会容易引起XSS攻击。XSS是一种代码注入攻击，攻击者在网站注入恶意脚本，在浏览器上运行，从而盗取用户cookie等信息。

危害特点

• 窃取cookie信息，利用CORS将cookie上传到攻击者的服务器
• 监听用户行为，比如利用addEventListener监听用户键盘事件，获取用户输入的用户名密码等
• 修改DOM，伪造登陆窗口，骗取用户输入的用户名和密码等信息
• 生成悬浮广告，在页面生成悬浮广告，诱导用户点击

攻击类型

• 存储型XSS：攻击者将恶意脚本注入到有漏洞的服务器，当浏览器访问带有恶意脚本的页面时，就会上传用户信息到恶意服务器
• 反射型XSS：攻击者诱导用户点击一个连接，然后将带有恶意代码的请求发送到服务器，服务器将恶意代码返回反射到浏览器，完成最终XSS攻击
• 基于DOM的XSS：这个攻击方法不会涉及到服务器，是在web页面资源传输过程中或者用户使用web页面过程中 修改web页面的数据。这个劫持类型较多，例如本地软件劫持、路由器劫持

防御方法

无论是哪种攻击类型，他们的共同特点都是先将恶意脚本注入浏览器，然后将用户信息发送到恶意服务器。所以阻止XSS攻击要从防止浏览器脚本注入和阻止恶意消息的发送方面来实施。

• 服务器对输入脚本关键字符进行过滤或转码（例如 将<script 转为 &lt;script&gt;）
• 使用验证码，防止伪造用户提交
• 对于不受信任的输入，限制输入长度
• 使用HttpOnly属性标记cookie（HttpOnly属性标记的cookie只能用于请求携带，不能通过js访问）
• 采用纯前端渲染。不使用服务器渲染，通过接口请求的方式，然后使用innerText、setAttrbute等方法设置内容与属性
• 使用CSP安全策略。CSP的本质是建立白名单。可以指定哪些外部资源可以加载，来避免恶意第三方脚本的加载；也可以禁止向第三方域提交数据，防止信息外泄；还可以禁止执行内联脚本和未授权的脚本；还提供了上报机制，这样可以帮助我们尽快的发现有哪些XSS攻击，然后进行修复。

CRSF-跨域请求伪造攻击

理解

CRSF是指跨站请求伪造攻击，攻击者诱导用户进入第三方网站，在攻击者的网站中，利用用户的登陆状态伪造跨域请求，绕过服务器的用户验证，从服务器获取信息。

他的本质是利用同源请求会携带cookie发送到服务器，来冒充用户。

攻击类型

• get类型：比如用户在网站中的img标签中构建一个请求，在用户点击时自动发送请求
• post类型：比如构建一个隐藏的表单，在用户进入页面时自动提交
• 链接类型：比如在a标签的href属性中构建一个请求，在用户点击的时候自动发送

防御方法

他的攻击特点是利用服务器的漏洞，因此主要是提升服务器的安全性。

• 利用cookie的SameSite属性。Strict-完全禁止第三方cookie；Lax-对于get链接的形式可以携带；None-没有任何限制
• 验证请求的来源站点。服务器根据http请求头中的origin或referer判断是否为运行的站点，如果这两个值都不存在，则直接拒绝该请求。（缺点是有些情况referer也可以被伪造）
• 使用CSRF Token验证。浏览器向服务器发起请求时，服务器生成一个随机的CSRF Token，当浏览器再次发送请求时携带此Token，服务器会根据这个token进行验证。（缺点是流程繁琐，每个请求都要携带Token；其次如果服务器搭载了负载均衡，如果请求被分配到其他服务器，这个服务器session中没有缓存这个token，也无法完成验证）
• 对cookie进行双重验证。浏览器访问页面时，服务器向请求域名中注入一个随机字符串cookie，当用户再次访问时，获取cookie中的字符串并拼接到URL中，服务器根据参数中的字符串和cookie中的字符串进行对比，完成验证。（优点：比上述两种实现都为简单方便；缺点：如果同时遭遇了XSS攻击，则也将失效）