前端安全

• XSS
• XSRF
• sql 注入
• 网络劫持。预防方法比如全站 https
  • DNS 劫持
  • HTTP 劫持
• 点击劫持
• 中间人攻击
• 接口防刷
• 数据安全
  • 反爬虫
• 支付安全
• 资源完整性校验，参考 https://zhuanlan.zhihu.com/p/51250585

XSS

跨站脚本攻击，顾名思义需要嵌入脚本，防范方法：

• 控制输入，比如对敏感字符进行转义
• 禁止读取 cookie，给 cookie 追加 httpOnly 属性

参考

• react 如何防范 xss 的

XSRF

跨站请求伪造，表现为伪造带有 cookie 的正规请求

防范方法：

• token
• cookie samesite。参考 https://www.cnblogs.com/ziyunfei/p/5637945.html
• 验证码
• 请求来源限制 referer

点击劫持

设置 X-Frame-Options 响应头，确保网页不能嵌入其他网站中。响应头详情参考 https://www.cnblogs.com/zhaijiahui/p/14621912.html

关于点击劫持参考 https://zh.javascript.info/clickjacking

接口防刷

其实这个不算是安全的范畴，但是会影响网站，严重会导致崩溃