[{"data":1,"prerenderedAt":10},["ShallowReactive",2],{"article-67277399585763b7c3baf04b":3},{"title":4,"content":5,"date":6,"summary":7,"keywords":8,"description":9},"警惕！XSS攻击如同病毒入侵，企业数据瞬间溃散！","\u003Cfigure class=\"image image_resized image-style-align-center\" style=\"width:65.25%;\">\u003Cimg style=\"aspect-ratio:1024/654;\" src=\"https://media.licdn.com/dms/image/v2/D4D12AQHE6BszCGD4Sg/article-cover_image-shrink_720_1280/article-cover_image-shrink_720_1280/0/1706794370167?e=2147483647&amp;v=beta&amp;t=DBC4uATiJP6eBlKzZGWyFMXomTLkCGwNANZn8-xREzQ\" width=\"1024\" height=\"654\">\u003C/figure>\u003Ch2>什么是XSS攻击\u003C/h2>\u003Cp>跨站脚本攻击（Cross-Site Scripting，XSS）是一种常见的网络安全漏洞，攻击者通过在网页中注入恶意脚本代码，利用用户对网站的信任，使得这些恶意脚本在用户的浏览器上执行。这种攻击通常利用网页未经过滤的用户输入，比如表单、URL参数或Cookie等，来注入恶意代码，从而盗取用户信息、窃取cookie、篡改网页内容或进行其他恶意操作。XSS攻击可以分为存储型XSS、反射型XSS和DOM-based XSS等不同类型，对企业和个人用户的信息安全造成严重威胁。为防范XSS攻击，开发者应该对用户输入进行严格过滤和转义，以确保网站的安全性。\u003C/p>\u003Ch2>惊人！高级开发者竟然对XSS一窍不通！\u003C/h2>\u003Cp>举例，很多前端开发者十分执着于前后端分离，前端是否管理token的问题。 他们会说JWT的出现主要是为了解决传统的会话管理方式（如基于Cookie的会话管理）在面对分布式系统和跨域请求时的一些限制和问题。\u003C/p>\u003Cp>以下是我在高级前端群里面的一次讨论：\u003C/p>\u003Cp style=\"margin-left:40px;\">某前端（吐槽）：你们见过微服务模块前后端分离项目用nginx代理，接口请求仍然用cookie鉴权的吗？\u003C/p>\u003Cp style=\"margin-left:40px;\">\n我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 这不正常吗？你又不是开发app\n\u003C/p>\u003Cp style=\"margin-left:40px;\">某前端： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;前后端分离不都是取请求主动带上的token么？分离了还取cookie？\n\u003C/p>\u003Cp style=\"margin-left:40px;\">某前端： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;难道你见过有正常的前后端分离项目叫你用cookie传递凭证的？\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 你看看某东某宝。他们都是用cookie存token的\n\u003C/p>\u003Cp style=\"margin-left:40px;\">某前端： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;出于什么目的？\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 你们用浏览器插件吗？\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;浏览器插件可以读写localStorage，也能发送http请求（到他的站点）。\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;有没有一种可能，你的登录凭证可能会被盗取[/doge]（注：取得登录凭证，只要懂打开开发者模式，就相当于登录了某个人的账号，可以窃取、甚至破坏数据）。\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;当然可能还有各种各样的XSS攻击去尝试获取用户信息。\n\u003C/p>\u003Cp style=\"margin-left:40px;\">我： &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;而cookie的http only模式，前端js是获取不了该数据的，token就保存在那里。不信你试试。\u003Ccode>\n\u003C/code>\u003C/p>\u003Cp>（注意：这里不是说所有浏览器插件都会这么做，来源正常的插件通常会经过官方审核。不过还是尽量少用插件吧，谁知道呢）\u003C/p>\u003Cp>考虑一下你的财务数据、销售数据、供应链数据被竞争对手获取，你的竞争对手给你的下属发送危害公司利益但下属无感的指示！\u003C/p>\u003Cp>是不是发现了问题？众多前端推崇的JWT竟然是安全杀手！ 也就是说，他们根本没有意识到安全问题。 何况是普通人！ 因此，无代码、低代码平台的安全性至关重要。 \u003Ca href=\"https://www.xiumasoft.cn\">码小螈开发平台\u003C/a>由安全经验丰富的开发人员开发，以保障企业的数据财产安全。\u003C/p>\u003Ch2>XSS的防范措施\u003C/h2>\u003Cp>我们平台对XSS攻击做了以下开发无感的措施：\u003C/p>\u003Col>\u003Cli>登录token使用cookie的http only模式（我们自带登录系统，无需开发）\u003C/li>\u003Cli>富文本禁止script标签、图片注入等常见攻击（我们提供的默认富文本编辑器和后端会主动做处理）\u003C/li>\u003Cli>默认采用内容安全策略（Content Security Policy，CSP）来限制页面加载的资源\u003C/li>\u003C/ol>\u003Cp>如果你要自主开发，我们还提供咨询服务，让您的数据安全无虞。\u003C/p>","2024-11-03T02:00:51.000Z","XSS攻击介绍","XSS攻击,跨站脚本攻击,网络安全漏洞,企业数据安全,XSS攻击防范,安全漏洞防范,前端开发,JWT安全性,无代码平台,低代码平台,数据财产安全,内容安全策略,CSP,信息安全,数据泄露防范,数据篡改防范","学习如何防范XSS攻击，一种严重威胁企业和个人用户信息安全的网络安全漏洞。了解XSS攻击的原理和防范措施，确保您的企业数据不会遭受泄露和篡改。",1772929941360]