如何檢測前端頁面的安全性？怎樣避免web頁面攻擊？

　　WEB基本攻擊大致可以分為三大類—— “資源列舉”、“引數操縱” 和 “其它攻擊”

　　資源列舉：遍歷站點所有可訪問的目錄，然後把一些常見的備胎檔名(比如“sql.bak”、“index-副本.html”)一個個都列舉一下，如果運氣好列舉到了就直接下載。

　　引數操縱：包括了SQL隱碼攻擊、XPath注入、cgi命令執行，還有XXS和會話劫持等，xxs攻擊指的是惡意攻擊者往Web頁面裡插入惡意html程式碼，當使用者瀏覽該頁之時，嵌入的惡意html程式碼會被執行，從而達到惡意使用者的特殊目的。

　　cookie劫持：透過獲取頁面的許可權，在頁面中寫一個簡單的到惡意站點的請求，並攜帶使用者的cookie，獲取cookie後透過cookie 就可以直以被盜使用者的身份登入站點。

　　解決方案：

　　永遠不要相信客戶端傳來的任何資訊，對這些資訊都應先進行編碼或過濾處理

　　謹慎返回使用者輸入的資訊

　　使用黑名單和白名單處理(即“不允許哪些敏感資訊”或“只允許哪些資訊”，白名單的效果更好但侷限性高)

　　檢查、驗證請求來源，對每一個重要的操作都進行重新驗證

　　使用SSL防止第三方監聽通訊(但無法阻止XSS、CSRF、SQL隱碼攻擊)

　　不要將重要檔案、備份檔案存放在公眾可訪問到的地方

　　會話ID無序化

　　對使用者上傳的檔案進行驗證(不單單是格式驗證，比方一張gif圖片還應將其轉為二進位制並驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>)

　　WSDL文件應當要求使用者註冊後才能獲取

　　希望以上的分享能幫到大家，想了解前端哪方面的知識，歡迎在評論中留言。

　　本文來自千鋒教育，轉載請註明出處。