web安全对于一般人来说是安全的,但是如果碰到研究安全的人的话,安全就是一个大问题。
常见的web攻击有xss(跨站脚本攻击),这是一种类似与sql注入的攻击,在一切可以输入的地方,输入自己的脚本,以达到一定目的,具体可以看这一篇文章(http://www.2cto.com/Article/201412/363743.html) 这篇讲了常见的攻击,并且做一一定的分析。
虽然上面的那些攻击都主要以服务端预防为主,但是前端人员也要了解一下,怎么预防这些问题,xss是用户的恶意输入导致的,那么我们就将用户输入的信息进行过滤,特别是将“<”和”>”这样的符号进行过滤,类似与onclick这种也是要进行过滤的,还有一些方式主要是后端处理。
前端最主要的是要预防非常驻式攻击,对于这种最怕的是获取用户的Cookie,所以还是主要对用户输入的进行检测,html转码解码或者js转码等措施,URL解码转码等方法。为Cookie加上HttpOnly,不让Cookie被任何脚本读取或修改。
这里主要针对的是不可信数据
好的文章(http://blog.jobbole.com/47372/)
我现在对于这些具体应用还不太明白,只能等到后面继续学习,希望大家指教